WooYun.org

1，远程web登录

2，未登录状况下多个页面可以匿名访问，下面以用户列表举例，如图

3，查询后可列出所有用户名，点重置密码后可以重置任意用户密码为初始密码888888

4，提示成功后返回登录界面工号即登录用户名,使用初始密码即可登录

5，该平台功能比较强大，功能也相当多，再加载ocx后可查看各个生产线的实时运行状态，找到文件上传处即可上传任意文件得到网站的shell

6，以当前测试服务器的环境来说网络环境位于内网，远程桌面没开，系统装有pcanywhere11.5，被控端启用TCP,监听默认5631端口,尝试下载pcanywhere的.cif密码文件解密后只得到用户名administrator密码无，之后发现系统设置了自动登录并读取到了登录密码，lcx转发5631端口后，本机使用拿到的密码成功登录测试服务器

7，Syncbase同为科远旗下一款优秀的应用于工业环境的实时/历史数据库，类似上第5条图所述实时监控数据都来自于实时数据库从下端DCS RTU PLC等设备采集上来的

8，图中Syncmb用来读取DCS或其他控制设备的I/O测点数据并采用Modbus协议将采集数据进行转发

8.1，此处我们添加一个名叫test的模拟量，设置驱动，连接地址，扫描周期以及功能码外加寄存器地址，添加成功后我们看到成功采到了数据，然后客户端进行连接测试

8.2，寄存器地址和功能码，设备地址，数据长度匹配后，客户端成功采到数据，这里值得一提的是，类似如果我们添加一个可读写的输入开关量，对点的数据进行下置，就该环境而言在上位机与下位机之间没有安全设备，进行转发隔离过滤的话，你懂的

9，再就当前测试环境来看，下位DCS等控制设备通过网闸与上位SIS相连，而根据网闸不同的设置一般只允许从DCS向SIS发送数据。

10，根据测试系统确认了该环境使用了SysKeeper-2000，配置网闸需要连接串口（http://wenku.baidu.com/view/60451ca0284ac850ad024286.html），因为无网闸管理软件未继续深入，最后通过超级终端确认了串口连接情况。

11，以及内网多台重要业务服务器密码整齐划一，安全风险极高