Resin漏洞利用案例之目录遍历/以金蝶某系统为例

漏洞概要

缺陷编号:WooYun-2015-0126353

漏洞标题:Resin漏洞利用案例之目录遍历/以金蝶某系统为例

相关厂商:金蝶

漏洞作者:Wulala

提交时间:2015-07-13 09:57

公开时间:2015-10-12 11:04

漏洞类型:默认配置不当

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-07-13: 细节已通知厂商并且等待厂商处理中
2015-07-14: 厂商已经确认,细节仅向厂商公开
2015-07-17: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2015-09-07: 细节向核心白帽子及相关领域专家公开
2015-09-17: 细节向普通白帽子公开
2015-09-27: 细节向实习白帽子公开
2015-10-12: 细节向公众公开

简要描述:

Wooyun上关于Resin的相关漏洞相对较少,而且很多漏洞的准确性有待商榷(比如关于Resin的viewfile漏洞).最近接触到Resin的漏洞,准备写一篇drop总结一下Resin的漏洞,所以需要收集一些案例, 下面是以金蝶某系统为例进行说明.

详细说明:

首先,得先说明一下本次需要利用的漏洞Caucho Resin多个远程信息泄露漏洞(建议先阅读下面三个漏洞)https://**.**.**.**/resources/advisories/R7-0028.jsphttps://**.**.**.**/resources/advisories/R7-0029.jsphttps://**.**.**.**/resources/advisories/R7-0030.jsp漏洞描述Resin for Windows实现上存在多个漏洞,远程攻击者可能利用此漏洞非授权获取敏感信息。Resin没有正确过滤通过URL传送的输入,允许远程攻击者通过在URL中提供有任意扩展名的DOS设备文件名从系统上的任意COM或LPT设备读取连续的数据流、通过目录遍历攻击泄露Web应用的WEB-INF目录中的文件内容,或通过包含有特殊字符的URL泄露到Caucho Resin服务器的完整系统路径。测试代码:http://**.**.**.**:8080/[path]/[device].[extension]http://**.**.**.**:8080/%20../web-infhttp://**.**.**.**:8080/%20http://**.**.**.**:8080/[path]/%20.xtp漏洞危害:通过此漏洞可以读取到串口设备的信息以及网站任意目录的文件遍历,我们这里之对Web相关的进行测试.测试系统:**.**.**.**/kingdee/login/loginpage.jsp通过上面的漏洞,我们构造后的URL:**.**.**.**/kingdee/%20../web-inf/

当然我们可以遍历Web目录下任何目录内容,通过信息挖掘知道Web目录下存在editor目录

总结:此漏洞利用条件:受影响系统:Caucho Technology Resin v3.1.0 for WindowsCaucho Technology Resin v3.0.21 for WindowsCaucho Technology Resin v3.0.20 for WindowsCaucho Technology Resin v3.0.19 for WindowsCaucho Technology Resin v3.0.18 for WindowsCaucho Technology Resin v3.0.17 for WindowsCaucho Technology Resin Professional v3.1.0 for Window注意:Windows平台的Resin受此漏洞影响/*************************** 以上就是关于Resin漏洞的说明 *******************/下面说明金蝶协同办公平台,金蝶基于Resin的协同办公平台引用了存在此组件因此导致目录遍历。 金蝶基于安全考虑,将很多配置文件和代码存放在web-inf目录,冤大头。目前泄露的配置有:/web-inf/classes/ad_config.conf AD域服务器账号和密码(当然是配置的情况下)

/web-inf/classes/ctop.conf ctop数据库账号和密码

/web-inf/classes/sms_config.conf 短信网关我发现Web根目录还有存在两个目录 /editor & /disk

(FCKEditor)

(各种未授权访问&用户信息泄露)最可笑的是,这里不用利用Resin的漏洞可以目录遍历**.**.**.**/kingdee/editor/**.**.**.**/kingdee/disk/

就用你做这个案例了

漏洞证明:

为了证明这个漏洞的通用性,当然需要证明一下通用。用Zoomeye和FoFa大约统计了一下,处于互联网的此系统大约有上百个,下面简单罗列一下**.**.**.**/kingdee/%20../web-inf/**.**.**.**/kingdee/%20../web-inf/**.**.**.**:8080/ctop/%20../web-inf/**.**.**.**:8080/kingdee/%20.../web-inf/**.**.**.**:800/kingdee/%20../web-inf/http://**.**.**.**:8080/%20../web-inf/http://**.**.**.**:8090/kingdee/%20../web-inf/http://**.**.**.**:8080/kingdee/%20../web-inf/**.**.**.**:8082/kingdee/%20../web-inf/**.**.**.**:8080/kingdee/%20../web-inf/**.**.**.**:8080/kingdee/%20../web-inf/**.**.**.**:81/kingdee/%20../web-inf/**.**.**.**:8080/kingdee/%20../web-inf/**.**.**.**:8080/kingdee/%20../web-inf/**.**.**.**:8080/ctop/%20../web-inf/**.**.**.**/ctop/%20../web-inf/**.**.**.**:8080/kingdee/%20../web-inf/**.**.**.**:8080/ctop/%20../web-inf/**.**.**.**:8080/kingdee/%20../web-inf/**.**.**.**:8080/ctop/%20../web-inf/**.**.**.**:8080/ctop/%20../web-inf/**.**.**.**:8080/ctop/login/%20../web-inf/http://**.**.**.**:8080/ctop/%20../web-inf/**.**.**.**:8080/kingdee/%20../web-inf/http://**.**.**.**:8080/kingdee/%20../web-inf/**.**.**.**/ctop/%20../web-inf/http://**.**.**.**/ctop/%20../web-inf/**.**.**.**:8080/ctop/%20../web-inf/http://**.**.**.**:8080/ctop/%20../web-inf/

修复方案:

1.升级Resin 3.1.1以上2. 对/editor/ 和 /disk 访问限制

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-07-14 11:02

厂商回复:

谢谢对金蝶的关注,深入研究金蝶系统发现安全漏洞。我们已通知相关部门修复。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 茜茜公主 白帽子 | Rank:899 漏洞数:85)

    我最喜欢看案例

  2. 2010-01-01 00:00 Wulala 白帽子 | Rank:201 漏洞数:17)

    @茜茜公主 这个案例比较水

  3. 2010-01-01 00:00 Wulala 白帽子 | Rank:201 漏洞数:17)

    @xsser @疯狗 请教一个问题,这种引用第三方组件导致的安全漏洞是否属于通用漏洞呢?

  4. 2010-01-01 00:00 HRay 白帽子 | Rank:167 漏洞数:24)

    期待洞主的resin漏洞总结

  5. 2010-01-01 00:00 wefgod 白帽子 | Rank:1438 漏洞数:124)

    @Wulala 同一套系统案例多的话会是通用的。你这不是算通用了吗

  6. 2010-01-01 00:00 紫衣大侠 白帽子 | Rank:278 漏洞数:23)

    关注

  7. 2010-01-01 00:00 Wulala 白帽子 | Rank:201 漏洞数:17)

    @wefgod 算通用了吗? 怎么判断呢/ 谢谢啦!

  8. 2010-01-01 00:00 茜茜公主 白帽子 | Rank:899 漏洞数:85)

    @Wulala 你选通用了吗,这个系统用户量多吗,你发现的案例多吗,resin一般就读passwd,hosts,.history,期待你的案例

  9. 2010-01-01 00:00 Wulala 白帽子 | Rank:201 漏洞数:17)

    @茜茜公主 这是某个金蝶的协同办公系统, 通过互联网搜索公开在公网的大约百来个,我列举了20多个受影响的系统. 这个利用限制还是比较有限的,仅针对Windows某些版本的Resin.

  10. 2010-01-01 00:00 wefgod 白帽子 | Rank:1438 漏洞数:124)

    @Wulala 不是漏洞预警了吗。虽然不知道是否是通用,但是漏洞预警的一般都有¥¥¥,哈

  11. 2010-01-01 00:00 Wulala 白帽子 | Rank:201 漏洞数:17)

    @wefgod 谢啦!

  12. 2010-01-01 00:00 无力落地の白 白帽子 | Rank:39 漏洞数:7)

    之前不是说 viewfile看到的 是example里的文件吗?

  13. 2010-01-01 00:00 Wulala 白帽子 | Rank:201 漏洞数:17)

    @无力落地の白 这个不是利用的viewfile的漏洞, 确实存在viewfile的漏洞,关于viewfile的漏洞,wooyun上很多提交的漏洞不是很准确的.最好自己做实验去总结和验证一下.

  14. 2010-01-01 00:00 Wulala 白帽子 | Rank:201 漏洞数:17)

    第二弹 已出炉
    Resin漏洞利用案例之Windows全盘遍历漏洞(以某省戒毒所为例)
    WooYun: Resin漏洞利用案例之Windows全盘遍历漏洞(以某省戒毒所为例)

  15. 2010-01-01 00:00 xyang 白帽子 | Rank:136 漏洞数:11)

    @Wulala drops文章出了吗?

  16. 2010-01-01 00:00 Wulala 白帽子 | Rank:201 漏洞数:17)

    @xyang 暂时还没有,还有一些需要实验验证.

  17. 2010-01-01 00:00 无力落地の白 白帽子 | Rank:39 漏洞数:7)

    WooYun: 万户网络技建站使用中间件Resin版本过低导致众多客户网站磁盘信息泄露 和我之前发的类似么