VULHUB ™

### 简要描述： 对金蝶的一次失败的渗透，太晚了，睡觉了不玩了。 ### 详细说明： 首先是几个小问题： 分站的列目录，能列出一些敏感数据。 ``` http://kdeas.kingdee.com/easWebClient/deploy/client/ctrlhome/client/KDNoteConfig.xml ``` http://kdeas.kingdee.com/easWebClient/deploy [<img src="https://images.seebug.org/upload/201310/162304564511f6cdb159815182dc7d49a8ae4652.jpg" alt="liemul.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/162304564511f6cdb159815182dc7d49a8ae4652.jpg) [<img src="https://images.seebug.org/upload/201310/16230513b4e27d57eb75c4573521b23a06536aa7.jpg" alt="liemulubaoshuju.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/16230513b4e27d57eb75c4573521b23a06536aa7.jpg) 小问题2：XSS漏洞。 金蝶官网的金蝶通行证，在对用户注册后填写的地址没有做过滤处理，导致XSS，可以X到cookies。 [<img src="https://images.seebug.org/upload/201310/1623070094b514be9491015996fcb660a29ab3bf.jpg" alt="xss.jpg" width="600"...

### 简要描述： 对金蝶的一次失败的渗透，太晚了，睡觉了不玩了。 ### 详细说明： 首先是几个小问题： 分站的列目录，能列出一些敏感数据。 ``` http://kdeas.kingdee.com/easWebClient/deploy/client/ctrlhome/client/KDNoteConfig.xml ``` http://kdeas.kingdee.com/easWebClient/deploy [<img src="https://images.seebug.org/upload/201310/162304564511f6cdb159815182dc7d49a8ae4652.jpg" alt="liemul.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/162304564511f6cdb159815182dc7d49a8ae4652.jpg) [<img src="https://images.seebug.org/upload/201310/16230513b4e27d57eb75c4573521b23a06536aa7.jpg" alt="liemulubaoshuju.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/16230513b4e27d57eb75c4573521b23a06536aa7.jpg) 小问题2：XSS漏洞。 金蝶官网的金蝶通行证，在对用户注册后填写的地址没有做过滤处理，导致XSS，可以X到cookies。 [<img src="https://images.seebug.org/upload/201310/1623070094b514be9491015996fcb660a29ab3bf.jpg" alt="xss.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/1623070094b514be9491015996fcb660a29ab3bf.jpg) 小问题3：金蝶用户中心密码找回缺陷。6位纯数字，没有做次数限制。 [<img src="https://images.seebug.org/upload/201310/16230739a5b678c532108db270936e48f7d018e8.jpg" alt="yanzhengma.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/16230739a5b678c532108db270936e48f7d018e8.jpg) 下面是大一点的问题了。 抓到某个开发人员用的备份站点： ``` http://cvn.test.kingdee.com ``` 能够列目录。 [<img src="https://images.seebug.org/upload/201310/16230941b08c544fd59aefc85a214d3ff4a6ea59.jpg" alt="wooyun.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/16230941b08c544fd59aefc85a214d3ff4a6ea59.jpg) wooyun.php是后来传上去的，这里能列目录，能看到很多的源码，因为支持的是php解析，很多jsp的源码直接点击就可以看。 看到phpmyadmin目录，直接用root/root登陆php 然后select出一句话wooyun.php [<img src="https://images.seebug.org/upload/201310/16231043a0c2cfe02206b3409c4b9287aba5a324.jpg" alt="slect.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/16231043a0c2cfe02206b3409c4b9287aba5a324.jpg) 用菜刀连接一看，是system，本来以为会很快结束战斗的、 [<img src="https://images.seebug.org/upload/201310/16231141fd877adc73e82a1de4ff513ff36ecbe6.jpg" alt="system.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/16231141fd877adc73e82a1de4ff513ff36ecbe6.jpg) 还加了一个wooyun的用户上去 [<img src="https://images.seebug.org/upload/201310/162312133da99c2e52b03fa233618aa997311ffc.jpg" alt="yonghu.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/162312133da99c2e52b03fa233618aa997311ffc.jpg) 想直接3389 结果是在内网。 [<img src="https://images.seebug.org/upload/201310/16231231977c8efa6b31f8070240b23d4113e842.jpg" alt="neiwang.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/16231231977c8efa6b31f8070240b23d4113e842.jpg) 然后想lcx转发，结果传上去就被杀了。 tasklist看了下进程，有360和赛门铁克。 全部给kill掉。 [<img src="https://images.seebug.org/upload/201310/162313475754a576cb90c4fac04ac6b669b4834f.jpg" alt="360.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/162313475754a576cb90c4fac04ac6b669b4834f.jpg) [<img src="https://images.seebug.org/upload/201310/1623135538a08118399752bd6266db1955072e8f.jpg" alt="zhudong.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/1623135538a08118399752bd6266db1955072e8f.jpg) [<img src="https://images.seebug.org/upload/201310/162314038a4c411026fe90bd291dfacd991a8610.jpg" alt=".jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/162314038a4c411026fe90bd291dfacd991a8610.jpg) 结束掉了还是会被杀，仔细看tasklist，眼睛都看花。 后来想算了lcx肯定是多数杀软都不放过的，改reDuh转发吧，慢就慢点。 哪知道reDuh上去也被杀，哎哟，不想搞了，没心情了都。 还是可以看到很多很多的代码备份和数据库备份，哎，很危险。 [<img src="https://images.seebug.org/upload/201310/1623155579a5438be60d6998f316963727cc2ae9.jpg" alt="bak.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/1623155579a5438be60d6998f316963727cc2ae9.jpg) [<img src="https://images.seebug.org/upload/201310/16231603dfa3125a456965970c418ce952a359de.jpg" alt=".jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201310/16231603dfa3125a456965970c418ce952a359de.jpg) ### 漏洞证明： 见详细说明。