当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0119296

漏洞标题:一汽大众某FTP匿名访问泄漏大量敏感信息可漫游内网

相关厂商:一汽大众

漏洞作者: 路人甲

提交时间:2015-06-11 14:53

修复时间:2015-07-30 18:18

公开时间:2015-07-30 18:18

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-11: 细节已通知厂商并且等待厂商处理中
2015-06-15: 厂商已经确认,细节仅向厂商公开
2015-06-25: 细节向核心白帽子及相关领域专家公开
2015-07-05: 细节向普通白帽子公开
2015-07-15: 细节向实习白帽子公开
2015-07-30: 细节向公众公开

简要描述:

涉及多款汽车:一汽-大众,奇瑞,广汽本田,东风尼桑,三菱,浙江吉利,东风雷诺,东风日产等
涉及敏感信息未打码...

详细说明:

mask 区域 
1.http://**.**.**

ip 直接访问为一汽大众官网

mask 区域 
1.ftp://**.**.**


无意中发现这个IP,可匿名访问,可上传下载,甚至删除文件。
有多家汽车公司官网代码及数据库备份文件。

33CCC18F-F52F-4DC5-B1C7-F37E2653AE8D.jpg


① 随便进入一个目录查看配置文件,可发现数据库用户密码以及邮箱密码
随便查看一个,不一一列举

mask 区域 
1.ftp://**.**.**/FAW-VW/Faw.DDMP_WS/Web.config


EE449ECC-BF41-4B3A-9CF3-9A7C5CEDD603.jpg


可外网连接数据库

5.png


登录邮箱 dfnissan@focussend.com df nissan 分开拼就是东风尼桑
涉及订阅用户共(2904684)

4.png


②访问 ftp主目录下有个svntool 目录 查看配置问件可得到账户密码
成功进入代码仓库后我惊讶的发现..好多车

7.png


保存着大量源代码,及服务器账户密码,各种敏感信息。
其中,在奇瑞目录下

10.png


奇瑞业务人员信息及联系方式:
0553-7526047


mask 区域


*****gjialiang@mychery.com *****
*****^^销商的沟通,邮箱:zhengfe*****
*****gbin5@mychery.com  联系电话:131553*****
*****^^:huzhongsheng@mychery*****
*****备件公司的问题提交^*****







登录到奇瑞的10.1.4.38的跳板机:
奇瑞VPN认证(win7):可多人同时登录





mask 区域


*****pn.mych*****
*****^huzho*****
*****^huzho*****







win8——每次只可以一个人登录





mask 区域


1.https://**.**.**
*****cxn85*****
*****zs/hu*****







跳板机:
一期:10.1.4.38
二期:10.1.4.35
用户名/密码





mask 区域


*****tor/che*****







----------------------------------------------------------------------------
cbu
http://epcm.mychery.com/epcm/
hewenming/cheryepcm! 
EAI接口:http://epcm.mychery.com/epcm/services/MonitorService?wsdl
http://epcmftp.eai.mychery.com:9080/epcm/services/MonitorService?wsdl(IP:10.1.4.36)
管理后台:
https://10.1.4.36:9043/ibm/console/
测试机服务器路径
http://epcm_test.mychery.com:18080/epcm/login.shtml?request_locale=zh
D:\tools\apache-tomcat-5.5.26\bin
测试机数据库:
	IP:10.1.4.38 
	SID:orcl





mask 区域


*****e:*****
*****rd^*****







----------------------------------------------------------------------------
kd:
生产机应用:





mask 区域


*****ery.com/*****
*****me:a*****
*****rd:1*****
1.://**.**.**//epcmkd.mychery.com/kdepcm/webservice/web_servicewsdl_
2.://**.**.**/web/kdepcm/interface/







生产机数据库:





mask 区域


*****.2.*****
*****EPC*****
*****:ep*****
*****:ep*****







WAS控制台:





mask 区域


1.http://**.**.**/ibm/console/login.do(新)_
*****043/ibm/cons*****
*****:wa*****
*****:ch*****







测试机应用(tomcat):





mask 区域


*****:10.1.4.*****
*****or/che*****
*****-windows-x86\ap*****
*****4.35:9999*****
*****me:a*****
*****rd:1*****
1.://**.**.**//10.1.4.35:9999/kdepcm/webservice/web_servicewsdl_
2.://**.**.**/working/epcmkd/interface







	





mask 区域


*****数^*****
*****1.4.*****
*****orc*****
*****:ep*****
*****:ep*****







10.2.4.2/10.2.4.224
log清理:D:\opt\applog\chery
应用缓存清理:d:\was6\profiles\AppSrv01\temp\ibmnode01\node002server1\kdepcm_war(2个服务器4个应用)
http://localhost:8080/KDEPCM_MVN


远还不止这些;这么多,不一一举例可好?
吉利

14.png


LMS发布,重启步骤:
1,计算机名为r.geely.com
 
2,用户名为:arvato@10.86.88.237,密码为QWEasd123
进去之后密码为:QWEASD1234cn
 
3,打开远程工具,进入10.86.1.147或者10.86.1.148;把代码上传到/LMS/publish/deploy/glms目录上
 
4,切换到控制台,进入/opt/scripts,重启10.86.1.147的tomcat:
a,	kill -9 进程号(ps –ef |grep tomcat)
b,	执行./backup7101.sh(备份)
c,	执行./deploy7101.sh(覆盖)
d,	执行./startup7101.sh(重启)
 
5,切换到控制台,进入/opt/scripts,重启10.86.1.148的tomcat:
a,	kill -9 进程号(ps –ef |grep tomcat)
b,	执行./backup7102.sh(备份)
c,	执行./deploy7102.sh(覆盖)
d,	执行./startup7102.sh(重启)
 
注:
1,	两台生产机ip分别为:10.86.1.147和10.86.1.148
2,	10.86.1.147中的tomcat目录为:/opt/tomcat7101/webapps
3,	10.86.1.148中的tomcat目录为:/opt/tomcat7102/webapps
4,	SVN
代码:http://202.170.217.47/repository/src/geelylms-20130225
资料:http://202.170.217.47/repository/docs/geelyLMS
5,	生产机路径,http://lms.geely.com/glms/


mask 区域


*****:^*****
*****^^65*****







6,	两台生产机数据库ip分别为:10.86.88.208和10.86.88.209





mask 区域


*****:JX*****
*****^^码^*****







FTP





mask 区域


*****  root *****
*****root Jx*****


15.png


<code>项目文档:https://61.174.13.108/svn/kyepcm/Doc/
项目源码:https://61.174.13.108/svn/kyepcm/Src/chery/
奇瑞VPN认证:
URL:https://218.22.74.20/por/login_psw.csp

mask 区域 
*****^^ch1*****
*****:cx*****


生产机应用:
URL:http://auto.cowinhome.com/epcm

mask 区域 
*****deale*****
*****:cher*****



生产机数据库:
IP:10.2.3.7
SID:epcm

mask 区域 
*****^^kye*****
*****:ky*****


生产机WAS控制台:
URL:https://10.2.3.3:9043/ibm/console/logon.jsp

mask 区域 
*****^^was*****
*****:ka*****


生产机应用(tomcat job专用):
path:D:\web\apache-tomcat-5.5.26_kaiyi
URL:http://10.2.3.3:8088/epcm

mask 区域 
*****deale*****
*****:cher*****


测试机应用(tomcat):
path:D:\tools\apache-tomcat-5.5.26_kaiyi
URL:http://10.1.4.38:8088/epcm/

mask 区域 
*****e:ka*****
*****:cher*****


mask 区域 
*****deale*****
*****rd:1*****


测试机数据库(暂时没有测试机数据库临时用10.2.3.4代替):
IP:10.2.3.4
SID:orcl

mask 区域 
*****^^kye*****
*****pcm</*****


17.png


16.png


其他目录下还有好多源代码,就不一一上图了。信息泄漏够多了

18.png


漏洞证明:

mask 区域 
1.://**.**.**//180.150.177.217/wooyun.txt</code>


mask 区域 
*****rName" value=&*****
*****t; value="Sa*****


<add key="rootPath" value="https://180.150.177.217:8443/svn/MAProjectLibrary/"/></code>

mask 区域 
*****ysql  r*****
*****2014?   l*****
*****t_SA  Renault_*****


登录VPN 进入内网

mask 区域 
1.://**.**.**//218.22.74.20  ch114545/cxn85211</code>


1.jpg


各种控制台

https://10.1.4.36:9043/ibm/console/login.do   jiangxl


21.png


2.jpg


12.png


https://10.2.3.3:9043/ibm/console/logon.jsp

mask 区域 
*****dmin/ka*****


13.png


mask 区域 
1.://**.**.**//lms.geely.com/glms/login.jsp  潘权  654321</code>


3.jpg


10.png


19.png


20.png


太多了,不一一列举..进去内网服务器后关联的信息会更多,不深入了,水好深。好累的说

修复方案:

..........

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-06-15 18:18

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2015-07-31 14:27 | zsmj ( 实习白帽子 | Rank:40 漏洞数:5 | 不问留言,不言寂寞!)

    能用沦陷形容么