当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0127849

漏洞标题:某大型SCADA系统缺陷导致多地多个工控基础设施被沦陷(影响电力、自来水、运营商等)

相关厂商:东方电子股份有限公司

漏洞作者: zph

提交时间:2015-07-22 14:10

修复时间:2015-10-22 14:48

公开时间:2015-10-22 14:48

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-22: 细节已通知厂商并且等待厂商处理中
2015-07-24: 厂商已经确认,细节仅向厂商公开
2015-07-27: 细节向第三方安全合作伙伴开放
2015-09-17: 细节向核心白帽子及相关领域专家公开
2015-09-27: 细节向普通白帽子公开
2015-10-07: 细节向实习白帽子公开
2015-10-22: 细节向公众公开

简要描述:

详细说明:

0x01 注入
登陆处存在注入
http://221.214.179.228:5000/
/modules/authen/server/login.php?userName=&userPwd=&moduleId=1&loginMode=byUser

1.png


然后直接出密码了,加密方式是对应字符的ASCII码 + 6。。
0x02 任意文件包含+fckeditor
任意文件包含:
modules/tmr/server/switchControlPanel.php?func=../../../../../../../../../../../../windows/win.ini%00.jpg

2.png


不解释
/help/fckeditor

3.png


其他地方不列了,漏洞太多,说不过来了,下面是几个实例
1. 陕西地方电力集团
http://61.150.109.61:81/

5.png


6.png


7.png


8.png


9.png


10.png


11.png


12.png


13.png


14.png


最后发现vpn居然尼玛有弱口令 test/test

15.png


2. 联通IDC机房
http://124.129.7.215/
http://124.129.7.216/
这两个IP都是SCADA

1.png


2.png


3-1.png


数据库信息泄露,用此信息直接能登上3389

4-1.png


5.png

6.png


7.png


实时数据库

8.png


RTU

9.png


10.png


11.png


12.png


3. 烟台自来水
这个案例需要用到文件包含和fck那两个漏洞,直接用fck上传txt小马,跨目录包含即可getshell,shell之后发现连接ip有限制,用lcx转发就能3389
ip 221.2*.1*.2*:5*

1.png


2.png


3.png


2.png


5.png


4.png


RTU即为本机,可直接发送命令,控制整个工控网络

6.png


集控中心

8.png


7.png

漏洞证明:

1.png


6.png


两张图就能说明问题了

修复方案:

sqli 文件包含 文件下载 fckeditor 默认口令 加密方式,各种问题都修一下吧
厂商自己注意安全意识问题,不多扯了

版权声明:转载请注明来源 zph@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-07-24 14:47

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向能源行业信息化主管部门通报,涉及联通的已转向中国联通集团通报,由其后续协调网站管理单位处置.

最新状态:

暂无

漏洞评价:

评论

  1. 2015-07-20 14:13 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    给力!工控小王子!

  2. 2015-07-20 14:13 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1754 漏洞数:144 | 如果大海能够带走我的矮丑...)

    天狗吃日,俩雷劈!!!

  3. 2015-07-20 14:14 | he1renyagao ( 普通白帽子 | Rank:225 漏洞数:29 | 是金子总会发光,在还未发光之前,先打磨打...)

    天狗吃日,俩雷劈!!!

  4. 2015-07-20 14:14 | nextdoor ( 普通白帽子 | Rank:325 漏洞数:74 )

    乌云抽风了,怎么两个漏洞标题一模一样

  5. 2015-07-20 14:14 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 哈!躁起来!)

    首页出现日食现象!究竟为何?

  6. 2015-07-20 14:16 | 玉林嘎 ( 普通白帽子 | Rank:768 漏洞数:97 )

    牛逼的人 雷都打2个!!!

  7. 2015-07-20 14:17 | 高小厨 ( 普通白帽子 | Rank:821 漏洞数:74 | 不会吹牛的小二不是好厨子!)

    我擦,求带

  8. 2015-07-20 14:17 | 带头大哥 ( 普通白帽子 | Rank:289 漏洞数:94 | 很早前,我就有个梦想。哪一天能站在国家会...)

    挖槽!!!

  9. 2015-07-20 14:18 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    雷出暴击了!!

  10. 2015-07-20 14:18 | wkc_2014 ( 普通白帽子 | Rank:164 漏洞数:45 | 2014-)

    两个雷!神同步

  11. 2015-07-20 14:20 | 带头大哥 ( 普通白帽子 | Rank:289 漏洞数:94 | 很早前,我就有个梦想。哪一天能站在国家会...)

    两个漏洞一模一样,并且回复也是同步的,好神奇!

  12. 2015-07-20 14:20 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 哈!躁起来!)

    分身已消失

  13. 2015-07-20 14:21 | 带头大哥 ( 普通白帽子 | Rank:289 漏洞数:94 | 很早前,我就有个梦想。哪一天能站在国家会...)

    @浩天 被浩天打回原型了,太可怕了!雷击中了直接变异了!

  14. 2015-07-20 14:21 | zzR 认证白帽子 ( 普通白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    幻象神符

  15. 2015-07-20 14:24 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1754 漏洞数:144 | 如果大海能够带走我的矮丑...)

    @疯狗 与 @浩天 交配完成,技能进入冷却时间,双倍消失。

  16. 2015-07-20 14:25 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2805 漏洞数:559 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    @疯狗 与 @浩天 二次交配完成,技能进入冷却时间,双倍消失。

  17. 2015-07-20 14:30 | f4ck ( 实习白帽子 | Rank:42 漏洞数:7 | 有些人很牛B,一个漏洞能刷成N个。)

    @疯狗 与 @浩天 三次交配完成,技能进入冷却时间,双倍消失。

  18. 2015-07-20 14:32 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 哈!躁起来!)

    你们城会玩了,这技能不是我放的,是finger和狗哥

  19. 2015-07-20 14:55 | 牛 小 帅 ( 普通白帽子 | Rank:431 漏洞数:100 | 什么狗屁爱,生活已乱套!人的一生中,...)

    @浩天 那个乡下人话真多o(∩_∩)o 哈哈

  20. 2015-07-20 14:59 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    四次交配完成,技能进入冷却时间,双倍消失。

  21. 2015-07-20 15:01 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    和finger搞出个双胞胎居然

  22. 2015-07-20 15:04 | Wulala ( 普通白帽子 | Rank:227 漏洞数:24 | ^..^ ^..^ ^↓^ ^..^ ^..^)

    Double kill

  23. 2015-07-20 15:09 | 牛 小 帅 ( 普通白帽子 | Rank:431 漏洞数:100 | 什么狗屁爱,生活已乱套!人的一生中,...)

    搞笑不啦你们,看看你们楼上一群人,大中午凑什么热闹?以为不睡觉就有洞挖?以为不睡觉就有女朋友?o(︶︿︶)o 唉不说了,我女朋友到了

  24. 2015-07-20 16:37 | 晏子 ( 路人 | Rank:6 漏洞数:4 | 无)

    啊呀,分身被杀了。

  25. 2015-07-20 16:55 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    太牛!

  26. 2015-07-20 17:06 | 胡来大师 ( 实习白帽子 | Rank:67 漏洞数:10 | 大牛,泄了。。。)

    read after me : 呢已欧,牛!

  27. 2015-07-20 18:57 | 从容 ( 普通白帽子 | Rank:221 漏洞数:75 | Enjoy Hacking Just Because It's Fun :) ...)

    你好,送快递!咳咳,那就送水的,啥没叫?老子是查水表的!快来开门!靠,不鸟我。爆破小组就位,狙击手就位,灯光,音乐,踹门

  28. 2015-07-20 21:26 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    13岁黑客?

  29. 2015-07-20 22:23 | loli 认证白帽子 ( 普通白帽子 | Rank:550 漏洞数:52 )

    狙击小组已就位,请求射鸡。

  30. 2015-07-21 10:22 | DloveJ ( 普通白帽子 | Rank:1107 漏洞数:200 | <a href=javascrip:alert('xss')>s</a> 点...)

    @浩天 wooyun-2015-0127830帮审核下,如何?

  31. 2015-07-24 18:06 | s4cr00t ( 路人 | Rank:18 漏洞数:5 | 自由,共享,平等)

    这个给力啊!

  32. 2015-09-27 17:54 | also ( 普通白帽子 | Rank:424 漏洞数:52 | 招渗透/php/前端/ios&android安全,广州地...)

    监控?工控?