当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0142472

漏洞标题:看我如何通过一枚测试账号渗透某司整个网络(主站+OA+OWA+整个内网已全部沦陷)

相关厂商:上港集团张华浜分公司

漏洞作者: wy007

提交时间:2015-09-23 09:40

修复时间:2015-11-08 18:00

公开时间:2015-11-08 18:00

漏洞类型:服务弱口令

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-23: 细节已通知厂商并且等待厂商处理中
2015-09-24: 厂商已经确认,细节仅向厂商公开
2015-10-04: 细节向核心白帽子及相关领域专家公开
2015-10-14: 细节向普通白帽子公开
2015-10-24: 细节向实习白帽子公开
2015-11-08: 细节向公众公开

简要描述:

随便看看就好了,不要太认真...

详细说明:

源于某日无聊,为了刷20RANK升级白帽子...
无意间发现一个网站登录页面...

1.png


看着还不错,起码是一个集团规模的..
后来查了一下这个集团的简介,放上来大家看一看吧...

2.png


3.png


4.png


5.png


6.png


7.png


8.png


看了一下规模还挺大,上市公司,下属公司还有很多,去看了一下他的主站和其他下属公司的网站也存在一些问题,不过时间原因还未深入.
今天就先讲讲这个下属公司的网站吧..
上港集团张华浜分公司:
**.**.**.**:82/logout.do
随手试了一下弱口令:test test
居然中了...

9.png


上去一看是应该是一个遗留的测试账号,没有什么关键信息和数据,
这里翻了半天最终找到了一个添加附件的上传点(其实后来发现还是有挺多的)..

10.jpg


这个上传点居然没有对上传文件做上传验证...
好吧,直接上传一个JSP Shell

11.png


上传成功之后,使用上传之后的地址登录我们的WebShell就好,这里将直接演示关键结果

12.png


看到这里已经有很多敏感信息暴漏了,最大的问题当然是当前用户了...
administrator
测试了一下,确实大部分命令都可执行,So直接添加了一个test用户...

13.png


拿到管理员了,自然就准备看看能不能直接远控了

14.png


本地3389开了,可是防火墙上未做端口映射,所以不能直接远控,
老样子lcx端口转发吧
上传了一个之前手头的免杀lcx,结果每次都显示上传成功,可是目录下却找不到文件...
后来检查了一番,服务器上安装了NOD32...(之前有用过,NOD32的杀毒效果还是不错的,毕竟是国外收费的)
之前看了一下当前系统进程的,没有看到360本以为万事大吉的..
结果卡在这里半天无果...
难道要我眼睁睁看着眼前马上就要到手的肥肉就这么没了麽...
哎,没办法,先放一放,去把免杀搞定吧。不然真要悲剧了。
最近正好也在学免杀,不过这个比较着急,救不了急啊。
最后只好找了一个大牛的lcx免杀。上传测试搞定..

15.png


进入内网下一步就可以继续渗透内网咯...
后来才发现这个内网比我想想的要大一些的,
接下来的步骤将不再演示,只为说明问题
如果想要复现可以联系我...
以下信息涉及太多内部信息建议乌云君只对厂商可看,或选择性公开...

漏洞证明:

弱口令及相关漏洞地址:(建议乌云君只对厂商可看,涉及太多内部信息)
办公系统弱口令:
慧智计算机OA系统:test test
MySPAM SQR邮箱系统:test test
Exchange OWA邮箱系统:test test
服务器弱口令:
**.**.**.** administrator admin //码头管理系统
**.**.**.** administrator admin //OA系统
**.**.**.** administartor admin //网站主站
**.**.**.** admin/guest 空 //财务系统
**.**.**.** administrator admin //预算管理系统
**.**.**.** administrator/admin/guest 空 //XP系统
**.**.**.** administrator admin
MSSQL数据库弱口令:
**.**.**.** sa sa
**.**.**.** sa 123456
**.**.**.** sa 空
**.**.**.** sa sa
**.**.**.** sa sa
MySQL数据库弱口令:
**.**.**.** mysql 空
**.**.**.** mysql 空
HP RX系列小型机弱口令:
**.**.**.** oracle oracle
**.**.**.** oracle oracle
FTP弱口令:
**.**.**.** 匿名登录(ftp ftp@**.**.**.**)
**.**.**.**69 匿名登录(ftp ftp@**.**.**.**,anyone anyone@**.**.**.**)
**.**.**.** oracle oracle
**.**.**.** oracle oracle
**.**.**.**1 oracle oracle
**.**.**.**2 oracle oracle
**.**.**.** administrator admin
SNMP弱口令:public
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**1
**.**.**.**2
**.**.**.**
**.**.**.**69
**.**.**.**30
IMAP弱口令:
**.**.**.**2 admin/root/user/guest/test 空
VNC弱口令:
**.**.**.**
海康威视:(admin 12345)
**.**.**.**
**.**.**.**/
大华摄像头:(admin admin)
**.**.**.**/
AXIS摄像头:(root pass)
**.**.**.**—**.**.**.**
DVR/DVS摄像头:(admin 12345)
**.**.**.**/
**.**.**.**/
**.**.**.**/
**.**.**.**/
**.**.**.**/
JBOSS服务器:
http://**.**.**.**:8080/jmx-console
http://**.**.**.**:8080/web-console
http://**.**.**.**:8080/invoker/JMXInvokerServlet
HP Integrity控制台:(Admin Admin,Oper Oper)
https://**.**.**.**
https://**.**.**.**
思科1900控制台:
http://**.**.**.**30/
SVN源码泄露:
**.**.**.**:82/fckeditor/editor/.svn/entries
**.**.**.**:82/inc/.svn/entries
**.**.**.**:82/images/.svn/entries
目录遍历:
**.**.**.**:82/manager
**.**.**.**:82/fckeditor/
**.**.**.**:82/inc/
**.**.**.**:82/images/
远程桌面服务器:

远程桌面(**.**.**.**).png


远程桌面(**.**.**.**).jpg


远程桌面(**.**.**.**).png


远程桌面(**.**.**.**).png


远程桌面(**.**.**.**)财务服务器.png


远程桌面(**.**.**.**).png


远程桌面(**.**.**.**).jpg


数据库服务器:

所有数据库连接成功.png


FTP服务器:

成功登录FTP服务器(**.**.**.**).png


成功登录FTP服务器(**.**.**.**).png


成功登录FTP服务器(**.**.**.**1).png


成功登录FTP服务器(**.**.**.**2).png


成功登录FTP服务器(**.**.**.**).png


文件共享服务器:

**.**.**.**文件共享(主站文件).png


**.**.**.**文件共享.png


**.**.**.**文件共享.png


**.**.**.**文件共享(HR培训视频).png


HR培训视频.png


备份文件.png


主站文件共享.png


SNMP泄露信息:

HP-UX1.png


HP-UX2.png


HP-UX3.png


HP-UX4.png


HP-UX5.png


HP-UX6.png


HP RX系列小型机:

成功登录小型机1.png


成功登录小型机2.png


成功登录小型机3.png


成功登录第二台小型机.png


通过SSH文件管理HP-UX小型机.png


HP Integrity控制台:

2.png


4.png


6.png


思科1900交换机控制台:

1.png


2.png


4.png


5.png


6.png


7.png


视频监控:

DVR视频监控1.jpg


DVR视频监控2.png


海康威视视频监控.jpg


海康威视视频监控2.png


视频监控1.png


视频监控2.png


视频监控3.png


视频监控4.png


视频监控5.png

视频监控6.png


网络拓扑结构:

北塔网络拓扑结构.jpg


tracert确定出口防火墙.png


防火墙登录页面.png


防火墙应该是早期Netscreen的...
思科路由器HSRP双机热备:

1.png


内部服务器地址:

**.**.**.**(主站服务器).png


OA系统.png


邮件服务器内网IP地址.png


Exchange OWA邮件系统.png


网站.png


在线主机数:(此数据是晚上采集,白天应该会更多)
目前已知的内网网络:
**.**.**.**/24
**.**.**.**/24
**.**.**.**/24
**.**.**.**/24

1.jpg


2.png


开放Web服务主机:

1.png


2.jpg


3.png


4.png


5.jpg


6.png


7.png


大量思科的设备,目前还未知是什么类型的,一般来说只要破解一个,即可...
域用户:

1.png


2.png


3.png


4.png


OA系统用户信息:

OA系统账号信息.png


Excahnge OWA邮箱系统:(通过已知域用户枚举密码)

1.png


爆破OWA账号密码.jpg


test用户成功登录Exchange OWA邮箱.png


zhr用户成功登录Exchaneg OWA邮箱.png


MySPAM SQR防垃圾邮件系统:(XSS跨站漏洞)

1.png


2.png


邮箱系统XSS跨站.png


JBoss漏洞:(任意上传WAR包获取WebShell)

jmx-console 1.png


web-console.png


JMXInvokerServlet.jpg


上传成功.png


邮箱伪造漏洞:

DNS SPF邮箱伪造漏洞.jpg


SVN源码泄露:

SVN源码泄露1.png


SVN源码泄露2.png


SVN源码泄露3.png


SVN源码泄露4.png


SVN源码泄露5.png


SVN源码泄露6.png


目录遍历:

列目录 1.png


列目录 2.png


列目录 3.png


列目录 4.png


ID遍历文档:

内部报告.png


内部报告1.png


内部报告3.png


内部报告4.png


内部报告5.png


内部报告6.png


部分文件任意下载:

文件下载1.png


文件下载2.png


连接VNC未认证:

VNC.png


Tomcat后台地址:

Tomcat后台.png


NOD32最新版病毒:(就是这货把我之前的免杀lcx干掉了...NOD32效果还是不错的, 这里要赞一下!)

NOD32杀毒软件最新病毒库.png


以下是几个测试时留的Shell,乌云君审核时可以参考一下(密码:admin),厂商自行删除吧..
**.**.**.**:82/config.jsp
**.**.**.**:82/help.jsp
**.**.**.**:82/uploadfiles/scheduleJob/1442299274670/1442299274670/file.jsp
声明一下,未做任何破坏性行为,一切都是点到为止。
如果是别有用心的人利用继续进一步渗透的话,后果我想你们可想而知的。
如果以上信息觉得敏感,可以联系乌云进行打码处理。

修复方案:

1、弱口令问题及其严重...这个就看管理员和个人的安全意识了,修改所有设备的默认密码,OA及邮箱系统、数据库系统等设置复杂密码,建议字母+数字+大小写+特殊符号>12位以上,另外重要系统分别设置密码,不要使用通用性密码(一个密码多个系统通用)
2、SVN源码和目录遍历问题建议设置文件访问权限,若程序开发完毕,建议删除或转移SVN源码。
3、OA系统附件上传进行文件类型校验(只允许办公文件类型,例如:word、excel、jpg等),服务端和客户端都要进行校验,不要只使用JS本地校验
4、MySPAM SQR防垃圾邮件系统的XSS反射型跨站可找厂商补丁解决,或自行根据自身需求添加XSS特殊符号过滤规则过滤<>等,深圳市基创隆电子有限公司,这是他们的网站:http://**.**.**.**/ManuCount.aspx?ID=24
5、若无需采集或管理设备信息,建议关闭SNMP端口
6、慧智计算机OA系统部分文件任意下载,联系上海慧智计算机技术有限公司吧。这是他们的网站:http://**.**.**.**/,发现上港集团的很多OA系统都是他们给做的...
7、没有WAF防护系统(硬件WAF防火墙、IDS、IPS等和软件WAF都未发现...),如果不打算购置硬件安全设备,还是建议服务器上安装安全狗之类的WAF防护软件。
先说这些吧...问题太多一时想不起来,如果还有什么问题可以在联系我...

版权声明:转载请注明来源 wy007@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-09-24 17:59

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给上海分中心,由其后续协调网站管理单位处置。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-09-21 11:23 | px1624 ( 普通白帽子 | Rank:1038 漏洞数:176 | px1624)

    希望不是标题党

  2. 2015-09-21 11:27 | mtfly ( 实习白帽子 | Rank:36 漏洞数:10 | 啥都不会)

    有个类似内网全沦陷的洞,看这个给多少分决定投不投

  3. 2015-09-21 13:45 | 齐迹 ( 普通白帽子 | Rank:784 漏洞数:100 | 重庆地区招聘安全工程师。sec.zhubajie.com...)

    围观一下

  4. 2015-09-21 13:49 | 刺刺 ( 普通白帽子 | Rank:603 漏洞数:52 | 真正的安全并不是技术,而是人类善良的心灵...)

    《飞虎神鹰》23集剧情:……李康和高世宝派葛彤来送信,要燕双鹰到张华浜船埠买卖烟土。燕双鹰动身前去张华浜的路上见到了余茹萍,余茹萍通知燕双鹰李康已经和陈恭鹏联手。燕双鹰将本人的一把枪交给余茹萍,要她告诉小都会歌舞厅的人撤离。在张华浜码头,燕双鹰被围住并解除武装,李康敕令葛彤押着燕双鹰到舞厅取假钞模板和花名册……

  5. 2015-09-21 13:55 | wy007 ( 普通白帽子 | Rank:108 漏洞数:11 | 其实我是一名卧底...)

    @刺刺 原来这个名字是个码头

  6. 2015-09-21 21:59 | Fire ant ( 实习白帽子 | Rank:73 漏洞数:26 | 他们回来了................)

    目测忽略

  7. 2015-10-14 19:34 | 默之 ( 普通白帽子 | Rank:512 漏洞数:94 | 沉淀。)

    这得渗透几天呢?