当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-035337

漏洞标题:对某省华润控股电力公司某些系统的一次不完全检测(多个系统沦陷)

相关厂商:华润控股

漏洞作者: 一只猿

提交时间:2013-08-27 16:52

修复时间:2013-10-11 16:53

公开时间:2013-10-11 16:53

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-08-27: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-10-11: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

sql注入,命令执行,密码明文存储。各种泄露(内部人员信息,内部敏感资料信息,用户信息等)。之所说是不完全检测,是因为还有很多突破口可以突破,只可惜本菜鸟知识匮乏,在这些突破口面前显得很无力。唉。。。只能跟着大牛们慢慢学习了

详细说明:

华润控股电力公司河南分公司多个系统存在高危漏洞,导致多个系统沦陷,大量敏感信息(资料)泄露。这事,得慢慢说起。前几天扫段的时候扫到某ip。浏览了几眼发现是asp的,怀疑存在sql注入,于是乎。测试之,地址:http://www.crep.com.cn

TM截图20130826163357.jpg

TM截图20130826163212.jpg

简单单引号测试,发现确实存在注入漏洞

TM截图20130826163229.jpg

用小榕的注入工具跑出管理密码

TM截图20130826163240.jpg

扫到后台地址:http://www.cerp.com.cn/admin_admin.asp

TM截图20130826163457.jpg

尝试登录成功

TM截图20130826164707.jpg

看见有编辑器,看下上传,测试发现有文件上传限制,于是修改系统文件上传的配置

TM截图20130826171749.jpg

再次上传还是错误,很是郁闷啊。之后尝试各种图片马什么的(过程省略),均失败,总觉得这里可以再继续深入,知识有限啊。废话不多说,继续。我就那么度娘了一下华润控股,就度娘到了河南某地区,然后就试着扫一扫IP段什么的。扫描ip段的时候总有那么一些ip是在一起的,所以,下面我就拿到了华润控股电力公司登封(河南)分公司的某系统,地址:http://www.cr-dengfeng.com

TM截图20130826182614.jpg

查看页面源代码,找到了.action,猜测可能存在struts漏洞,测试之,果然存在,大马上去,数据库直接sa权限了

TM截图20130826180223.jpg

看admin表,轻松解密,这里有个密码很关键,admin的密码为lanwan0,这在后面会说到

TM截图20130826180445.jpg

再看某系统的user表,齐刷刷地默认密码(123)

TM截图20130826181110.jpg

继续看user,工作人员信息泄露了

TM截图20130826181158.jpg

看到某张表里面,泄露了其他系统的地址

TM截图20130826181301.jpg

继续看表,少量明文密码

TM截图20130826182027.jpg

看这个,全部是默认密码123啊,吓了一跳

TM截图20130826182108.jpg

再看,少量未修改的默认密码

TM截图20130826182334.jpg

呐,刚刚看到了,那个漏了其他系统的表,既然泄露了,何不测试下,地址:http://www.cr-dengfeng.com:8000,协同办公系统一枚

TM截图20130826182511.jpg

测试管理员登陆成功

TM截图20130826181950.jpg

对了,还有首页也有登陆的地方,测试登录成功

TM截图20130826191108.jpg

请注意图上的红色框部分,可以连接到其他系统,于是

TM截图20130826191136.jpg

然后

TM截图20130826191355.jpg

Sorry,这是个内网的。还有,BBS一枚

TM截图20130826191618.jpg

测试登陆,成功

TM截图20130826192700.jpg

再回去看下,发现了这个,数据库的备份

TM截图20130826191600.jpg

还有邮箱的配置

TM截图20130826192502.jpg

漏洞证明:

上面只是个开头,我们继续哈。上回书说到我们已经成功拿下两个系统。我当然觉得这肯定还有更大的好戏在后面。继续测试扫描到的ip。果不其然,让我给抓到了:http://218.29.101.3,河南公司的总系统(猜测)。

TM截图20130826193237.jpg

依然struts,大马上去

TM截图20130826193330.jpg

请注意图上的红色框部分,密码是lanwan0lanwan0,我上面已经提到过登封的某系统管理员密码是lanwan0,这之间似乎存在这某些关系,先不管,继续往下看,在同一目录下我还发现了另外一枚配置文件,这为我省了不少扫描ip的时间

TM截图20130826193415.jpg

先看看都是些啥系统

TM截图20130826193528.jpg

协同办公一枚

TM截图20130826193556.jpg

ERP一枚

TM截图20130826193646.jpg

邮件系统一枚,当然还有内网某系统一枚。我们来看内裤

TM截图20130826193824.jpg

某个表(明文了)

TM截图20130826194022.jpg

看管理

TM截图20130826194130.jpg

你没看错,熟悉的默认密码123又一次出现了,数量不少我们来尝试登陆下系统

TM截图20130826194653.jpg

额,测试发现远程桌面可以连接,试下提权什么的

TM截图20130826195437.jpg

TM截图20130826195459.jpg

TM截图20130826195517.jpg

一阵兴奋,连接试下

TM截图20130826200014.jpg

额,不好意思,失败了,然后我各种尝试啊,总觉得这里可以搞下的啊,结果还是失败了啊,没文化好可怕啊。继续,刚刚我说过那个配置文件泄露了其他系统的地址,测试了协同管理系统,不存在struts漏洞,略过,测试ERP的时候发现漏洞存在,于是大马上去

TM截图20130826200842.jpg

然后我各种尝试连接啊,都是失败啊。无奈,难道是我姿势不对?接着看,拿不到内裤可以看下盘什么的啊,然后呢,就发现了下面这些(内部资料啊)

TM截图20130826201834.jpg

TM截图20130826201917.jpg

TM截图20130826201947.jpg

TM截图20130826202036.jpg

TM截图20130826202050.jpg

TM截图20130826202115.jpg

当然文件是非常多的啊,下面这张图的文件夹里面都是各种文件啊

TM截图20130826202156.jpg

还不止啊,我还发现了这些啊(10.72G的文件备份)

TM截图20130826202323.jpg

还有个DBF文件 啊(2.44G)

TM截图20130826202427.jpg

最后看下E盘还有什么

TM截图20130826202511.jpg

至于其他的发现的系统,我就不登陆了啊!同事说华润控股非常厉害啊!不敢再搞下去了啊!只希望厂商速度修复啊!其他地区的系统也赶紧做下全面检查啊!还有啊!所有数据我都原封没动啊!没下载也没泄露啊!没任何有害操作啊!水表,快递,社区送温暖的求不要啊!谢谢了啊!

修复方案:

@cncert国家互联网应急中心

版权声明:转载请注明来源 一只猿@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论

  1. 2015-08-08 21:44 | 冉阿让 ( 普通白帽子 | Rank:122 漏洞数:25 | Come from Greets.py)

    多么详细呀!!!学习了。