当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0132014

漏洞标题:为引起厂商重视的一次创维系统内网漫游(发现前人痕迹)

相关厂商:深圳市酷开网络科技有限公司

漏洞作者: Rainism

提交时间:2015-08-06 08:27

修复时间:2015-09-20 14:14

公开时间:2015-09-20 14:14

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-06: 细节已通知厂商并且等待厂商处理中
2015-08-06: 厂商已经确认,细节仅向厂商公开
2015-08-16: 细节向核心白帽子及相关领域专家公开
2015-08-26: 细节向普通白帽子公开
2015-09-05: 细节向实习白帽子公开
2015-09-20: 细节向公众公开

简要描述:

因为感觉问题很久了厂商仍未修补,为了引起厂商重视,决定深夜内网漫游之,好困……求礼物QAQ

详细说明:

问题比较多,先总结前人如下:
重装页面,可以重置管理用户登陆后台http://www.skyworth-ea.com/install/

重装.jpg


默认密码登陆http://www.skyworth-ea.com/SysAdmin/Login.aspx

默认密码登陆.jpg


注入打包:
http://www.skyworth-ea.com:80/cn/about/development.aspx?nodecode=
http://www.skyworth-ea.com/cn/humanresource/employment.aspx?
http://www.skyworth-ea.com/cn/product/productdetail.aspx?id=10000011734487
http://www.skyworth-ea.com/cn/product/index.aspx?nodecode=105007002
http://www.skyworth-ea.com/en/search.aspx?val=a
http://www.skyworth-ea.com/en/product/category.aspx?nodecode=105012001003
http://www.skyworth-ea.com/en/news/newsdetail.aspx?id=100000030389525&nodecode=105011001

zhru.jpg


后台的验证上传很有意思,get参数提交白名单…………我们自己加上|aspx就绕过上传了

shangchuan.jpg


一句话:http://www.skyworth-ea.com/UploadFiles/main/Files/2015/8/20150805185555.aspx ggyh
大马:http://www.skyworth-ea.com/UploadFiles/main/Files/2015/8/20150805185438.aspx admin
希望仔细检查,发现从五月份开始就陆续有shell开始上传。
泄露数据库信息add name="SQLConnString1" connectionString="server=127.0.0.1;database=skyworth-ea;uid=skyworth-ea;pwd=q5fascv1"/

shujuku.jpg


未打补丁,可提权

tiquan.jpg


发现开启3389,但是内网,我们执行转发,看看内网如何

1远程桌面.jpg


重点来了,本来执行arp -a 和systeminfo以为是虚拟机,内网不大,…………下一大跳
web站点服务:

2web站点服务.jpg


共享链接:

3共享文件敏感信息泄露.jpg


3_2.jpg


涉及到敏感业务和数据,但是设置由权限,不是全部可以访问
hscan扫描,发现内网很大,内网 服务很多,3389机器也很多,ftp匿名访问和弱口令很多

5hscan.jpg


使用找到的密码作为字典爆破3389,哗啦啦的一片

4另一台远程桌面.jpg


另一台远程桌面,还是dns服务器,彻底暴漏全部内网和域分布,着实吓到了。不说清楚的暴漏了内网结构,dns劫持挂马也是很恐怖的。
不早了,睡了,希望厂商能尽快修复漏洞,那个防护的软件真的不够………………深夜晚安

漏洞证明:

问题比较多,先总结前人如下:
重装页面,可以重置管理用户登陆后台http://www.skyworth-ea.com/install/

重装.jpg


默认密码登陆http://www.skyworth-ea.com/SysAdmin/Login.aspx

默认密码登陆.jpg


注入打包:
http://www.skyworth-ea.com:80/cn/about/development.aspx?nodecode=
http://www.skyworth-ea.com/cn/humanresource/employment.aspx?
http://www.skyworth-ea.com/cn/product/productdetail.aspx?id=10000011734487
http://www.skyworth-ea.com/cn/product/index.aspx?nodecode=105007002
http://www.skyworth-ea.com/en/search.aspx?val=a
http://www.skyworth-ea.com/en/product/category.aspx?nodecode=105012001003
http://www.skyworth-ea.com/en/news/newsdetail.aspx?id=100000030389525&nodecode=105011001

zhru.jpg


后台的验证上传很有意思,get参数提交白名单…………我们自己加上|aspx就绕过上传了

shangchuan.jpg


一句话:http://www.skyworth-ea.com/UploadFiles/main/Files/2015/8/20150805185555.aspx ggyh
大马:http://www.skyworth-ea.com/UploadFiles/main/Files/2015/8/20150805185438.aspx admin
希望仔细检查,发现从五月份开始就陆续有shell开始上传。
泄露数据库信息add name="SQLConnString1" connectionString="server=127.0.0.1;database=skyworth-ea;uid=skyworth-ea;pwd=q5fascv1"/

shujuku.jpg


未打补丁,可提权

tiquan.jpg


发现开启3389,但是内网,我们执行转发,看看内网如何

1远程桌面.jpg


重点来了,本来执行arp -a 和systeminfo以为是虚拟机,内网不大,…………下一大跳
web站点服务:

2web站点服务.jpg


共享链接:

3共享文件敏感信息泄露.jpg


3_2.jpg


涉及到敏感业务和数据,但是设置由权限,不是全部可以访问
hscan扫描,发现内网很大,内网 服务很多,3389机器也很多,ftp匿名访问和弱口令很多

5hscan.jpg


使用找到的密码作为字典爆破3389,哗啦啦的一片

4另一台远程桌面.jpg


另一台远程桌面,还是dns服务器,彻底暴漏全部内网和域分布,着实吓到了。不说清楚的暴漏了内网结构,dns劫持挂马也是很恐怖的。
不早了,睡了,希望厂商能尽快修复漏洞,那个防护的软件真的不够………………深夜晚安

修复方案:

其实没啥大问题,很快就修复了,但是要重视。怕影响业务,深夜测试,不知道有没有礼物QAQ

版权声明:转载请注明来源 Rainism@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-08-06 14:12

厂商回复:

之前已转相关创维人员处理,谢谢!

最新状态:

暂无


漏洞评价:

评论

  1. 2015-08-06 15:28 | Rainism ( 路人 | Rank:11 漏洞数:3 | hacking for fun)

    额,外网好修,内网安全边界很有问题……本来想修改下的,发个拓扑和一些内网问题主机和一些需要修改的账户,厂商已确认,不能修改了,还是提醒下,做好内网的安全边界,其实几个网段都可以很容易搞定……员工、业务,外网服务的在一起可以访问,还可以跨来跨去2333