金蝶网多处安全漏洞大礼包(可获服务器权限)

基本字段

漏洞编号：: SSV-93771

披露/发现时间：: 2013-10-17

提交时间：: 2013-10-17

漏洞等级：

漏洞类别：: 其他类型

影响组件：: Kingdee

漏洞作者：: 小胖子

提交者：: Knownsec

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

http://wooyun.org/bugs/wooyun-2013-039998

漏洞详情

贡献者 Knownsec 共获得 0KB

### 简要描述：对金蝶的一次失败的渗透，太晚了，睡觉了不玩了。 ### 详细说明：首先是几个小问题：分站的列目录，能列出一些敏感数据。 ``` http://kdeas.kingdee.com/easWebClient/deploy/client/ctrlhome/client/KDNoteConfig.xml ``` http://kdeas.kingdee.com/easWebClient/deploy [<img src="https://images.seebug.org/upload/201310/162304564511f6cdb159815182dc7d49a8ae4652.jpg" alt="liemul.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/162304564511f6cdb159815182dc7d49a8ae4652.jpg) [<img src="https://images.seebug.org/upload/201310/16230513b4e27d57eb75c4573521b23a06536aa7.jpg" alt="liemulubaoshuju.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/16230513b4e27d57eb75c4573521b23a06536aa7.jpg) 小问题2：XSS漏洞。金蝶官网的金蝶通行证，在对用户注册后填写的地址没有做过滤处理，导致XSS，可以X到cookies。 [<img src="https://images.seebug.org/upload/201310/1623070094b514be9491015996fcb660a29ab3bf.jpg" alt="xss.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/1623070094b514be9491015996fcb660a29ab3bf.jpg) 小问题3：金蝶用户中心密码找回缺陷。6位纯数字，没有做次数限制。 [<img src="https://images.seebug.org/upload/201310/16230739a5b678c532108db270936e48f7d018e8.jpg" alt="yanzhengma.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/16230739a5b678c532108db270936e48f7d018e8.jpg) 下面是大一点的问题了。抓到某个开发人员用的备份站点： ``` http://cvn.test.kingdee.com ``` 能够列目录。 [<img src="https://images.seebug.org/upload/201310/16230941b08c544fd59aefc85a214d3ff4a6ea59.jpg" alt="wooyun.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/16230941b08c544fd59aefc85a214d3ff4a6ea59.jpg) wooyun.php是后来传上去的，这里能列目录，能看到很多的源码，因为支持的是php解析，很多jsp的源码直接点击就可以看。看到phpmyadmin目录，直接用root/root登陆php 然后select出一句话wooyun.php [<img src="https://images.seebug.org/upload/201310/16231043a0c2cfe02206b3409c4b9287aba5a324.jpg" alt="slect.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/16231043a0c2cfe02206b3409c4b9287aba5a324.jpg) 用菜刀连接一看，是system，本来以为会很快结束战斗的、 [<img src="https://images.seebug.org/upload/201310/16231141fd877adc73e82a1de4ff513ff36ecbe6.jpg" alt="system.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/16231141fd877adc73e82a1de4ff513ff36ecbe6.jpg) 还加了一个wooyun的用户上去 [<img src="https://images.seebug.org/upload/201310/162312133da99c2e52b03fa233618aa997311ffc.jpg" alt="yonghu.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/162312133da99c2e52b03fa233618aa997311ffc.jpg) 想直接3389 结果是在内网。 [<img src="https://images.seebug.org/upload/201310/16231231977c8efa6b31f8070240b23d4113e842.jpg" alt="neiwang.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/16231231977c8efa6b31f8070240b23d4113e842.jpg) 然后想lcx转发，结果传上去就被杀了。 tasklist看了下进程，有360和赛门铁克。全部给kill掉。 [<img src="https://images.seebug.org/upload/201310/162313475754a576cb90c4fac04ac6b669b4834f.jpg" alt="360.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/162313475754a576cb90c4fac04ac6b669b4834f.jpg) [<img src="https://images.seebug.org/upload/201310/1623135538a08118399752bd6266db1955072e8f.jpg" alt="zhudong.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/1623135538a08118399752bd6266db1955072e8f.jpg) [<img src="https://images.seebug.org/upload/201310/162314038a4c411026fe90bd291dfacd991a8610.jpg" alt=".jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/162314038a4c411026fe90bd291dfacd991a8610.jpg) 结束掉了还是会被杀，仔细看tasklist，眼睛都看花。后来想算了lcx肯定是多数杀软都不放过的，改reDuh转发吧，慢就慢点。哪知道reDuh上去也被杀，哎哟，不想搞了，没心情了都。还是可以看到很多很多的代码备份和数据库备份，哎，很危险。 [<img src="https://images.seebug.org/upload/201310/1623155579a5438be60d6998f316963727cc2ae9.jpg" alt="bak.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/1623155579a5438be60d6998f316963727cc2ae9.jpg) [<img src="https://images.seebug.org/upload/201310/16231603dfa3125a456965970c418ce952a359de.jpg" alt=".jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/16231603dfa3125a456965970c418ce952a359de.jpg) ### 漏洞证明：见详细说明。

共 0 兑换了

PoC

暂无 PoC

参考链接

http://wooyun.org/bugs/wooyun-2013-039998

解决方案

临时解决方案

暂无临时解决方案

官方解决方案

暂无官方解决方案

防护方案

暂无防护方案

※本站提供的任何内容、代码与服务仅供学习，请勿用于非法用途，否则后果自负

金蝶网多处安全漏洞大礼包(可获服务器权限)

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机现在绑定

暂无评论

金蝶网多处安全漏洞大礼包(可获服务器权限)

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机 现在绑定

暂无评论

您好，

您好，

评论前需绑定手机现在绑定