当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0125713

漏洞标题:江中集团内网沦陷(4个核心业务系统getshell+大部分系统拿后台+控16台IP超60个数据库迈10G数据)

相关厂商:江中集团

漏洞作者: cmwl

提交时间:2015-07-09 17:30

修复时间:2015-08-27 14:56

公开时间:2015-08-27 14:56

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-09: 细节已通知厂商并且等待厂商处理中
2015-07-13: 厂商已经确认,细节仅向厂商公开
2015-07-23: 细节向核心白帽子及相关领域专家公开
2015-08-02: 细节向普通白帽子公开
2015-08-12: 细节向实习白帽子公开
2015-08-27: 细节向公众公开

简要描述:

一个子系统SQL注入加上系统运维漏洞,导致整个内网沦陷,江中集团业务系统、人员信息、资金情况等等。。。。。被一览无余,完全操控!_!
!!!这回必须是大礼包!!!

详细说明:

入口点:
江中集团合同信息管理系统(http://218.65.95.151:8080/)
SQL注入点:

http://218.65.95.151:8080/default.aspx


POST数据:

btnLogin=%e7%99%bb%e9%99%86&txtPsd=123&txtUsername=kmqcmdxf&__EVENTVALIDATION=/wEWBALQgKq4DwKl1bK4CQKZ%2b7qdDgKC3IeGDCzo%2bZOi0rn057eTzxUOVz7kAp2HPD934VDz98I/a8uU&__VIEWSTATE=/wEPDwUKMjA1MzU5MTAxMWRkcxNcvDdeaaqhidoGQxoy5n0jwCupTF6ZyLgu0PITSY0%3d


步步深入---->>漏洞证明:

漏洞证明:

通过SQL注入点,拿下xp_cmdshell,可执行系统命令:

step1-xp_cmdshell.png


由此可推。。。getshell:

step2-webshell-合同管理系统.png


有了webshell只是一个开端,一看还拥有admin权限。。。这。。。没法提权了,看源码,看配置:

step3-database-config-file.png


有了数据库连接信息,直接连上:

step4-database-details-1.png


看看用表的信息:

step5-database-details-user_info-table.png


好吧,明文密码,登录一个用户看看:

step6-合同管理系统-登录.png


到此,这个小系统算是完全渗透进去了。
-----------------------------------------------------------------
觉得没什么东西,再看看系统,发现还部署有另外一个tomcat的系统(测了一下,疑似很老的没用的系统,tomcat6.0。。。),发现了一些非常有趣的配置:

step-two-1-tomcat-users.png


tomcat的manager和host-manager登录用户名和密码,但是这个端口直接访问不了这个web服务,nmap扫一下,发现8081端口是可以用的,用这个试试?直接登录成功:

step-two-2-tomcat-users-8081.png


这儿可以直接部署war,看了一下已部署的,是一个ymlx(物流防窜系统),拿webshell:

step-two-3-webshell-8081.png


老规矩,看配置,找数据库用户密码:

step-two-4-database-config-file.png


连上试试:

step-two-5-database-details-1.png


看看用记登录的表:

step-two-6-database-details-user_info-table.png


有个管理员,直接登录:

step-two-7-物流防窜系统-管理员登录.png


好多功能,没动,随便看了看:

step-two-8-物流防窜系统-管理员登录-细节.png


到此,这个物流防窜管理系统也OK了
---------------------------------------------------------------
刚才nmap扫描的时候,还发现了8082端口可用,同样是tomcat的,用刚才8081的manager登录密码试试,成功:

step-three-1-tomcat-users-8082.png


这些部署的都是一些预算报销的app,webshell:

step-three-2-webshell-8082.png


数据库配置信息:

step-three-3-database-config-file.png


完美连接:

step-three-4-database-details-1.png


到此,8082端口也拿下
-------------------------------------------------
拿下了这几个系统后,再想想,好像有很多地方都很类似。。。。密码完全相同!
随便开个webshell,看了看IP,是192.168.0.*的内网,用burpsuite扫了一扫IP段192.168.0.2到192.168.0.254的数据库开放和连接情况,结果是:
数据库用户名:sa
数据库密码:jzjtxxzx445522
端口:1433
数据库类型:sql server
可连接IP:

192.168.0.125
192.168.0.129
192.168.0.14
192.168.0.92
192.168.0.128
192.168.0.131
192.168.0.15
192.168.0.99
192.168.0.95
192.168.0.195
192.168.0.104
192.168.0.62
192.168.0.200
192.168.0.113
192.168.0.66


以上IP都可以连接,统计了一下,总共有大概60多个数据库,有一半是正在使用,差不多一半是以前的老数据库,数据量在10G以上!!!!!!!!江中集团现在正在使用的系统大部分的数据都是在这些数据库里面的,这。。。。。。。。。。。。。。。
到此,内网的大部分数据库已获得完全控制权
-------------------------------------------------------
虽然拿下了集团的数据库,但是感觉前面getshell的那几个系统与数据库的相关性不是那么大,三个系统也就用了3个IP的几个数据库,还有好多数据库没用呢,于是。。。。。。找了找江中的其它系统--江中OA系统,他们有两个,一个老的,一个新的,老的肯定没用了,那就新的吧:
也是tomcat,试试admin/jzjtxxzx445522组合,成功进入manager:

step-four-1-tomcat-users-oa.jzjt.com-8084.png


拿webshell:

step-four-2-webshell-oa.jzjt.com-8084.png


拿数据库配置,这个数据库不在以上数据库内,密码有点小差别。。j改为了J:

step-four-3-database-config-file.png


完美连接,看看登录表:

step-four-4-database-details-info_user-table.png


进入admin看看,好多子系统功能,很多可直接访问:

step-four-5-OA协同管理系统-管理员登录.png


功能太强大了,档案管理:

step-four-5-OA协同管理系统-管理员-档案管理.png


人事管理:

step-four-5-OA协同管理系统-管理员-人事管理.png


营销管家:

step-four-5-OA协同管理系统-管理员-营销管家.png


主数据管理:

step-four-5-OA协同管理系统-管理员-主数据管理.png


到此,OA系统完美掌控
---------------------------------------------------------
随便看了看数据库,找到一个集团通信录系统,看看表:

集团通信录--数据库--用户表.png


登录后台看看:

集团通信录--管理员登录.png


集团通信录--管理员登录--操作.png


至此,没有做更多系统的挖掘。
-----------------------------------------------

修复方案:

SQL注入:过滤、转义、编码
系统运维也是非常非常重要的,那么多系统,密码分开使用
网站/数据库权限不要那么高

版权声明:转载请注明来源 cmwl@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2015-07-13 14:55

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给江西分中心,由其后续协调网站管理单位处置。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-07-09 17:33 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    江中草珊瑚含片

  2. 2015-07-09 17:38 | Weiy、 ( 实习白帽子 | Rank:35 漏洞数:6 | 为了梦想我会一直前行、)

    江中健胃消食片

  3. 2015-07-09 17:39 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    江中猴姑饼干

  4. 2015-07-09 17:39 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    江中乳酸菌素片

  5. 2015-07-09 17:41 | 牛 小 帅 ( 普通白帽子 | Rank:363 漏洞数:84 | [code]心若没有栖息的地方,走到哪里都是在...)

    @浩天 怎么没雷

  6. 2015-07-09 17:43 | 北京方便面 认证白帽子 ( 核心白帽子 | Rank:876 漏洞数:66 | 我爱吃北京方便面)

    江中牌痔康片

  7. 2015-07-09 17:43 | 管管侠 ( 核心白帽子 | Rank:1368 漏洞数:108 | 休息几日,让你们先装会!!!)

    江中牌脑残片

  8. 2015-07-09 17:46 | 偶米头发 ( 路人 | Rank:6 漏洞数:2 | easy come and easy go)

    江中牌巴西蜂胶

  9. 2015-07-09 18:03 | 临时工 ( 普通白帽子 | Rank:122 漏洞数:11 | 初来乍到)

    江中牌跌停丸

  10. 2015-07-09 18:22 | diskring ( 路人 | Rank:4 漏洞数:3 | 小号。。)

    江中牌避孕药

  11. 2015-07-09 18:36 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    很不幸,你对我投资的公司下手了

  12. 2015-07-09 22:47 | 雷锋 ( 路人 | Rank:12 漏洞数:2 | 承接:钻井,架工,木工,电工,水暖工,力...)

    江中牌避孕套

  13. 2015-07-10 09:25 | cmwl ( 实习白帽子 | Rank:91 漏洞数:9 | 我要一片雪白的世界*)

    @小龙 误伤见谅

  14. 2015-07-10 09:26 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    @cmwl 里面数据有没50万?

  15. 2015-07-11 17:53 | cmwl ( 实习白帽子 | Rank:91 漏洞数:9 | 我要一片雪白的世界*)

    @小龙 远不止

  16. 2015-07-13 15:35 | 江中集团(乌云厂商)

    你好,我是厂家,请留下联系方式给security@jzjt.com,谢谢