前言

前段时间作者发布了一篇文章《700个zf和企业办公系统疑似具有RDP风险》，提到*蝶、*友等多个OA系统疑似存在漏洞可以打进内网，并获得3389权限，当时就提醒可能导致勒索或拖库，应当及时响。没想到仅几天之后，就爆出*友OA被大批量勒索……

因此，作者便深入分析了这些OA系统存在的共性，以试图找到攻击者攻击的途径或攻击手法。

01 确定攻击目标

首先当然是找共性，把目标放在了这些OA的底层开发框架上，无果，不是同一种语言，也不共用同一套框架；后又把目标放在了安装这些OA的系统上，既然提到了获取3389权限，有没有可能是操作系统漏洞呢？但还是无果，有win7、winserver2003、2008等，也没发现最近有什么漏洞可能导致直接打进3389的；目标来到他们的供应商，无果，他们并不共用同一家供应商，有的是自己研发，有的是合并其他公司，并无共通之处。

思路到这里其实就断了，如果读者有更好的思路可以检测多个OA系统的共性，可以在文章下方留言。

作者的方法是厚着脸皮再次向黑客发送邮件索要一批测试系统，当然，是新创建一个邮箱账号去问。黑客发来的一个系统测试截图中，作者看到了一个之前没有见过的软件图标。

经调查，发现这个软件归属于“西安瑞友信息技术资讯有限公司”，是一家虚拟化和云计算解决方案提供商，产品名称是“瑞友天翼”，进一步调查发现这个软件和多个OA系统捆绑销售，其中就包括了黑客提到的*蝶、*友等多个产品以及医疗、金融、物流等多个行业。

软件的用途大致就是将内网的机器的3389端口映射到公网，方便不在公司的员工进行远程办公。其中医疗行业的解决方案如下，其余的类似，远程办公的员工只需要访问瑞友天翼在公网上的IP和端口，输入账号密码，即可直接进入公司内网的机器上办公。

这看似是一个非常实用、便捷的功能，但是危害却可以非常非常大，因为作者发现瑞友天翼的客户端存在弱口令的情况。这与前言中提到的黑客可以接管3389远程桌面这一情况相符，黑客有可能是从这里进来的！并不是什么高大上的0day，而是最最普通的弱口令；并不是什么OA系统的漏洞，而是其用于管理的中间件出现了问题。这是黑客的障眼法，一直把作者往OA漏洞那边引，没想到其实和OA并无太大关系，即使将OA更到最新版本，不更新瑞友天翼客户端也是无济于事的。

02 推测、验证攻击流程

确认黑客攻击的目标可能是瑞友天翼软件后，对这款软件进行了初步分析，整理了一条可以筛选的规则，在fofa、zoomeye上筛选了同类的在公网上暴露的瑞友天翼web网站。发现在国内的瑞友天翼网站包括历史数据接近12万条，近一年居然有3万条，虽然有很多换了ip导致不可访问，也不全是存在弱口令的系统，但是存在风险的系统是非常多的。

随意访问几个，可以看到瑞友天翼5、6、7三个版本的页面，5和6类似，7是新版。

7以下版本的页面，点击“关于”可以看到这个系统属于哪家公司。

了解完这是哪家公司后，看到登录框当然是顺手尝试弱口令，由于是手工测，仅尝试admin/admin以及admin/123456。下图就是密码正确后的页面。

作者测试了大约100个页面，存在admin/admin和admin/123456弱口令漏洞的就有18个之多，其他的弱口令密码并未尝试，占比达到了18%。

点击OA系统的图标，发现使用了RAP协议javascript:openapp('RAP://xxxxxx')，并非http或https协议，意味着不可以通过web进一步访问，推测需要下载瑞友天翼的客户端，恰好页面上就有下载客户端的连接。下载成功并打开后是如下界面，一个小窗口。

推测填写好刚刚测试到的ip和端口，和用户名密码就可以登录，并且进入到使用该IP的公司内网机器上。

03 分析攻击步骤

由于黑客给出了490多家企业的列表名单，不像是一个一个去访问并复制下来的，这样攻击的时间成本太高，而上面提到的攻击流程中，有一步是可以通过“关于”查看使用公司名称的，黑客可能就是通过这个接口写了一个脚本，批量获取公司名称并形成了列表。因此作者推测攻击者的攻击步骤可能如下：

1、利用物联网搜索引擎，将网上近期可以访问的瑞友天翼web服务器的IP和端口拿到。

2、利用工具批量测试这批瑞友天翼登录框的弱口令登录情况，因为没有次数限制，黑客可以跑一个较大的弱密码字典，这样爆破的成功率更高。

3、将上一步可以弱口令登录成功的网站记录，并使用脚本批量获取这些网站对应的使用公司或单位名称，将这些名称形成列表，也就是黑客在暗网论坛上发布的那一份列表。

4、下载瑞友天翼客户端，进行进一步攻击，打入内网，进行拖库或投马勒索。

04 后记

有在使用瑞友天翼的企业或部门应当及时响应，防范，从修改弱密码做起，更新到最新版本，也可以先将设备卸下，使用更为安全的VPN进行远程回连办公。

弱口令已经是个屡见不鲜的漏洞话题，但是依旧因为方便而被广泛使用，尤其是一些内网系统，认为攻击者无法进入内网，就可以随意设置密码，殊不知攻击者可以从别处进来，横向渗透，这时，弱口令的危害将变得非常严重。弱口令安全防范的建议这里就不过多赘述，网上有特别多的文章已经讲得很透彻了，在这里就分享一篇可以自行查阅。

https://www.nington.com/blog-mfa/downloaddetail_113.shtml

最后宣传一下，预计于10月份开始，该账号将定期更新攻击者溯源专题，将从多个可以溯源攻击者的主题角度进行拆解分析，如通过IP溯源，通过元数据溯源（流量、样本、日志等），通过攻击手法溯源等。敬请期待！