漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0132014
漏洞标题:为引起厂商重视的一次创维系统内网漫游(发现前人痕迹)
相关厂商:深圳市酷开网络科技有限公司
漏洞作者: Rainism
提交时间:2015-08-06 08:27
修复时间:2015-09-20 14:14
公开时间:2015-09-20 14:14
漏洞类型:成功的入侵事件
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-08-06: 细节已通知厂商并且等待厂商处理中
2015-08-06: 厂商已经确认,细节仅向厂商公开
2015-08-16: 细节向核心白帽子及相关领域专家公开
2015-08-26: 细节向普通白帽子公开
2015-09-05: 细节向实习白帽子公开
2015-09-20: 细节向公众公开
简要描述:
因为感觉问题很久了厂商仍未修补,为了引起厂商重视,决定深夜内网漫游之,好困……求礼物QAQ
详细说明:
问题比较多,先总结前人如下:
重装页面,可以重置管理用户登陆后台http://www.skyworth-ea.com/install/
默认密码登陆http://www.skyworth-ea.com/SysAdmin/Login.aspx
注入打包:
http://www.skyworth-ea.com:80/cn/about/development.aspx?nodecode=
http://www.skyworth-ea.com/cn/humanresource/employment.aspx?
http://www.skyworth-ea.com/cn/product/productdetail.aspx?id=10000011734487
http://www.skyworth-ea.com/cn/product/index.aspx?nodecode=105007002
http://www.skyworth-ea.com/en/search.aspx?val=a
http://www.skyworth-ea.com/en/product/category.aspx?nodecode=105012001003
http://www.skyworth-ea.com/en/news/newsdetail.aspx?id=100000030389525&nodecode=105011001
后台的验证上传很有意思,get参数提交白名单…………我们自己加上|aspx就绕过上传了
一句话:http://www.skyworth-ea.com/UploadFiles/main/Files/2015/8/20150805185555.aspx ggyh
大马:http://www.skyworth-ea.com/UploadFiles/main/Files/2015/8/20150805185438.aspx admin
希望仔细检查,发现从五月份开始就陆续有shell开始上传。
泄露数据库信息add name="SQLConnString1" connectionString="server=127.0.0.1;database=skyworth-ea;uid=skyworth-ea;pwd=q5fascv1"/
未打补丁,可提权
发现开启3389,但是内网,我们执行转发,看看内网如何
重点来了,本来执行arp -a 和systeminfo以为是虚拟机,内网不大,…………下一大跳
web站点服务:
共享链接:
涉及到敏感业务和数据,但是设置由权限,不是全部可以访问
hscan扫描,发现内网很大,内网 服务很多,3389机器也很多,ftp匿名访问和弱口令很多
使用找到的密码作为字典爆破3389,哗啦啦的一片
另一台远程桌面,还是dns服务器,彻底暴漏全部内网和域分布,着实吓到了。不说清楚的暴漏了内网结构,dns劫持挂马也是很恐怖的。
不早了,睡了,希望厂商能尽快修复漏洞,那个防护的软件真的不够………………深夜晚安
漏洞证明:
问题比较多,先总结前人如下:
重装页面,可以重置管理用户登陆后台http://www.skyworth-ea.com/install/
默认密码登陆http://www.skyworth-ea.com/SysAdmin/Login.aspx
注入打包:
http://www.skyworth-ea.com:80/cn/about/development.aspx?nodecode=
http://www.skyworth-ea.com/cn/humanresource/employment.aspx?
http://www.skyworth-ea.com/cn/product/productdetail.aspx?id=10000011734487
http://www.skyworth-ea.com/cn/product/index.aspx?nodecode=105007002
http://www.skyworth-ea.com/en/search.aspx?val=a
http://www.skyworth-ea.com/en/product/category.aspx?nodecode=105012001003
http://www.skyworth-ea.com/en/news/newsdetail.aspx?id=100000030389525&nodecode=105011001
后台的验证上传很有意思,get参数提交白名单…………我们自己加上|aspx就绕过上传了
一句话:http://www.skyworth-ea.com/UploadFiles/main/Files/2015/8/20150805185555.aspx ggyh
大马:http://www.skyworth-ea.com/UploadFiles/main/Files/2015/8/20150805185438.aspx admin
希望仔细检查,发现从五月份开始就陆续有shell开始上传。
泄露数据库信息add name="SQLConnString1" connectionString="server=127.0.0.1;database=skyworth-ea;uid=skyworth-ea;pwd=q5fascv1"/
未打补丁,可提权
发现开启3389,但是内网,我们执行转发,看看内网如何
重点来了,本来执行arp -a 和systeminfo以为是虚拟机,内网不大,…………下一大跳
web站点服务:
共享链接:
涉及到敏感业务和数据,但是设置由权限,不是全部可以访问
hscan扫描,发现内网很大,内网 服务很多,3389机器也很多,ftp匿名访问和弱口令很多
使用找到的密码作为字典爆破3389,哗啦啦的一片
另一台远程桌面,还是dns服务器,彻底暴漏全部内网和域分布,着实吓到了。不说清楚的暴漏了内网结构,dns劫持挂马也是很恐怖的。
不早了,睡了,希望厂商能尽快修复漏洞,那个防护的软件真的不够………………深夜晚安
修复方案:
其实没啥大问题,很快就修复了,但是要重视。怕影响业务,深夜测试,不知道有没有礼物QAQ
版权声明:转载请注明来源 Rainism@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:10
确认时间:2015-08-06 14:12
厂商回复:
之前已转相关创维人员处理,谢谢!
最新状态:
暂无