漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0142472
漏洞标题:看我如何通过一枚测试账号渗透某司整个网络(主站+OA+OWA+整个内网已全部沦陷)
相关厂商:上港集团张华浜分公司
漏洞作者: wy007
提交时间:2015-09-23 09:40
修复时间:2015-11-08 18:00
公开时间:2015-11-08 18:00
漏洞类型:服务弱口令
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-09-23: 细节已通知厂商并且等待厂商处理中
2015-09-24: 厂商已经确认,细节仅向厂商公开
2015-10-04: 细节向核心白帽子及相关领域专家公开
2015-10-14: 细节向普通白帽子公开
2015-10-24: 细节向实习白帽子公开
2015-11-08: 细节向公众公开
简要描述:
随便看看就好了,不要太认真...
详细说明:
源于某日无聊,为了刷20RANK升级白帽子...
无意间发现一个网站登录页面...
看着还不错,起码是一个集团规模的..
后来查了一下这个集团的简介,放上来大家看一看吧...
看了一下规模还挺大,上市公司,下属公司还有很多,去看了一下他的主站和其他下属公司的网站也存在一些问题,不过时间原因还未深入.
今天就先讲讲这个下属公司的网站吧..
上港集团张华浜分公司:
**.**.**.**:82/logout.do
随手试了一下弱口令:test test
居然中了...
上去一看是应该是一个遗留的测试账号,没有什么关键信息和数据,
这里翻了半天最终找到了一个添加附件的上传点(其实后来发现还是有挺多的)..
这个上传点居然没有对上传文件做上传验证...
好吧,直接上传一个JSP Shell
上传成功之后,使用上传之后的地址登录我们的WebShell就好,这里将直接演示关键结果
看到这里已经有很多敏感信息暴漏了,最大的问题当然是当前用户了...
administrator
测试了一下,确实大部分命令都可执行,So直接添加了一个test用户...
拿到管理员了,自然就准备看看能不能直接远控了
本地3389开了,可是防火墙上未做端口映射,所以不能直接远控,
老样子lcx端口转发吧
上传了一个之前手头的免杀lcx,结果每次都显示上传成功,可是目录下却找不到文件...
后来检查了一番,服务器上安装了NOD32...(之前有用过,NOD32的杀毒效果还是不错的,毕竟是国外收费的)
之前看了一下当前系统进程的,没有看到360本以为万事大吉的..
结果卡在这里半天无果...
难道要我眼睁睁看着眼前马上就要到手的肥肉就这么没了麽...
哎,没办法,先放一放,去把免杀搞定吧。不然真要悲剧了。
最近正好也在学免杀,不过这个比较着急,救不了急啊。
最后只好找了一个大牛的lcx免杀。上传测试搞定..
进入内网下一步就可以继续渗透内网咯...
后来才发现这个内网比我想想的要大一些的,
接下来的步骤将不再演示,只为说明问题
如果想要复现可以联系我...
以下信息涉及太多内部信息建议乌云君只对厂商可看,或选择性公开...
漏洞证明:
弱口令及相关漏洞地址:(建议乌云君只对厂商可看,涉及太多内部信息)
办公系统弱口令:
慧智计算机OA系统:test test
MySPAM SQR邮箱系统:test test
Exchange OWA邮箱系统:test test
服务器弱口令:
**.**.**.** administrator admin //码头管理系统
**.**.**.** administrator admin //OA系统
**.**.**.** administartor admin //网站主站
**.**.**.** admin/guest 空 //财务系统
**.**.**.** administrator admin //预算管理系统
**.**.**.** administrator/admin/guest 空 //XP系统
**.**.**.** administrator admin
MSSQL数据库弱口令:
**.**.**.** sa sa
**.**.**.** sa 123456
**.**.**.** sa 空
**.**.**.** sa sa
**.**.**.** sa sa
MySQL数据库弱口令:
**.**.**.** mysql 空
**.**.**.** mysql 空
HP RX系列小型机弱口令:
**.**.**.** oracle oracle
**.**.**.** oracle oracle
FTP弱口令:
**.**.**.** 匿名登录(ftp ftp@**.**.**.**)
**.**.**.**69 匿名登录(ftp ftp@**.**.**.**,anyone anyone@**.**.**.**)
**.**.**.** oracle oracle
**.**.**.** oracle oracle
**.**.**.**1 oracle oracle
**.**.**.**2 oracle oracle
**.**.**.** administrator admin
SNMP弱口令:public
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**1
**.**.**.**2
**.**.**.**
**.**.**.**69
**.**.**.**30
IMAP弱口令:
**.**.**.**2 admin/root/user/guest/test 空
VNC弱口令:
**.**.**.**
海康威视:(admin 12345)
**.**.**.**
**.**.**.**/
大华摄像头:(admin admin)
**.**.**.**/
AXIS摄像头:(root pass)
**.**.**.**—**.**.**.**
DVR/DVS摄像头:(admin 12345)
**.**.**.**/
**.**.**.**/
**.**.**.**/
**.**.**.**/
**.**.**.**/
JBOSS服务器:
http://**.**.**.**:8080/jmx-console
http://**.**.**.**:8080/web-console
http://**.**.**.**:8080/invoker/JMXInvokerServlet
HP Integrity控制台:(Admin Admin,Oper Oper)
https://**.**.**.**
https://**.**.**.**
思科1900控制台:
http://**.**.**.**30/
SVN源码泄露:
**.**.**.**:82/fckeditor/editor/.svn/entries
**.**.**.**:82/inc/.svn/entries
**.**.**.**:82/images/.svn/entries
目录遍历:
**.**.**.**:82/manager
**.**.**.**:82/fckeditor/
**.**.**.**:82/inc/
**.**.**.**:82/images/
远程桌面服务器:
数据库服务器:
FTP服务器:
文件共享服务器:
SNMP泄露信息:
HP RX系列小型机:
HP Integrity控制台:
思科1900交换机控制台:
视频监控:
网络拓扑结构:
防火墙应该是早期Netscreen的...
思科路由器HSRP双机热备:
内部服务器地址:
在线主机数:(此数据是晚上采集,白天应该会更多)
目前已知的内网网络:
**.**.**.**/24
**.**.**.**/24
**.**.**.**/24
**.**.**.**/24
开放Web服务主机:
大量思科的设备,目前还未知是什么类型的,一般来说只要破解一个,即可...
域用户:
OA系统用户信息:
Excahnge OWA邮箱系统:(通过已知域用户枚举密码)
MySPAM SQR防垃圾邮件系统:(XSS跨站漏洞)
JBoss漏洞:(任意上传WAR包获取WebShell)
邮箱伪造漏洞:
SVN源码泄露:
目录遍历:
ID遍历文档:
部分文件任意下载:
连接VNC未认证:
Tomcat后台地址:
NOD32最新版病毒:(就是这货把我之前的免杀lcx干掉了...NOD32效果还是不错的, 这里要赞一下!)
以下是几个测试时留的Shell,乌云君审核时可以参考一下(密码:admin),厂商自行删除吧..
**.**.**.**:82/config.jsp
**.**.**.**:82/help.jsp
**.**.**.**:82/uploadfiles/scheduleJob/1442299274670/1442299274670/file.jsp
声明一下,未做任何破坏性行为,一切都是点到为止。
如果是别有用心的人利用继续进一步渗透的话,后果我想你们可想而知的。
如果以上信息觉得敏感,可以联系乌云进行打码处理。
修复方案:
1、弱口令问题及其严重...这个就看管理员和个人的安全意识了,修改所有设备的默认密码,OA及邮箱系统、数据库系统等设置复杂密码,建议字母+数字+大小写+特殊符号>12位以上,另外重要系统分别设置密码,不要使用通用性密码(一个密码多个系统通用)
2、SVN源码和目录遍历问题建议设置文件访问权限,若程序开发完毕,建议删除或转移SVN源码。
3、OA系统附件上传进行文件类型校验(只允许办公文件类型,例如:word、excel、jpg等),服务端和客户端都要进行校验,不要只使用JS本地校验
4、MySPAM SQR防垃圾邮件系统的XSS反射型跨站可找厂商补丁解决,或自行根据自身需求添加XSS特殊符号过滤规则过滤<>等,深圳市基创隆电子有限公司,这是他们的网站:http://**.**.**.**/ManuCount.aspx?ID=24
5、若无需采集或管理设备信息,建议关闭SNMP端口
6、慧智计算机OA系统部分文件任意下载,联系上海慧智计算机技术有限公司吧。这是他们的网站:http://**.**.**.**/,发现上港集团的很多OA系统都是他们给做的...
7、没有WAF防护系统(硬件WAF防火墙、IDS、IPS等和软件WAF都未发现...),如果不打算购置硬件安全设备,还是建议服务器上安装安全狗之类的WAF防护软件。
先说这些吧...问题太多一时想不起来,如果还有什么问题可以在联系我...
版权声明:转载请注明来源 wy007@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2015-09-24 17:59
厂商回复:
CNVD确认并复现所述情况,已经转由CNCERT下发给上海分中心,由其后续协调网站管理单位处置。
最新状态:
暂无