当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0156880

漏洞标题:华泰保险安全之绕过远程沙盒内网漫游

相关厂商:华泰财产保险有限公司

漏洞作者: _Thorns

提交时间:2015-11-29 17:41

修复时间:2016-01-14 12:10

公开时间:2016-01-14 12:10

漏洞类型:后台弱口令

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-11-29: 细节已通知厂商并且等待厂商处理中
2015-11-30: 厂商已经确认,细节仅向厂商公开
2015-12-10: 细节向核心白帽子及相关领域专家公开
2015-12-20: 细节向普通白帽子公开
2015-12-30: 细节向实习白帽子公开
2016-01-14: 细节向公众公开

简要描述:

华泰保险之绕过远程沙盒漫游

详细说明:

1>信息收集
利用百度和谷歌还有自己的社工库查询等,收集了100+的企业邮箱帐号。

1.png


2>fuzz,尝试自己组合了几种针对华泰保险的密码

Hutai123
Ht123456
Huatai520
HT1234
huatai123
ht123456
huatai520
ht1234
....


3>成功fuzz出几个帐号,这里我拿其中一个举例。

zhangqingzhao  Hutai123


2.png


4>获取敏感信息。
我获取了一个vpn登录帐号

https://219.141.242.12
VPN用户名:2398
VPN密 码:4519


3.png


登录发现获取到的地址只是172的地址,不对套路阿。
于是乎,我扫描了172的其他地址。

4.png


利用之前信息收集中的信息,成功登录一个核心系统。

5.png


再快没有头绪不想继续搞下去的时候,我看了下厂商的漏洞列表。
发现内网地址确实是10开头的。
莫非... 还有其他的VPN?
我扫描了202.108.103.0/24的443端口。

6.png


找到了这个登陆地址,尝试利用刚才的VPN帐号密码登录,果然提示错误.
后来测试很多默认口令。
test test
sangfor sangfor
等...
这个VPN登录帐号密码,会不会就是OA和邮箱的密码?或者说是域密码?
我又回头看了下OA和邮箱。

7.png


果然如此
尝试利用邮箱帐号登录VPN

8.png


成功,上天还是眷恋我的。
登录进来打开系统链接,发现自己虽然连接上了VPN,但是却没有获取内网IP地址。
猜测是内网的堡垒机进行了中转后,利用IE浏览器来直接执行。

9.png


10.png


文件-打开-直接可以绕过这个简单的沙盒。

11.png


12.png

13.png


民用燃气保险卡数据导入平台注入
http://10.100.1.83:7001/teamserver/faces/home.jsp

14.png

15.png

16.png


1.png


2.png


至此,进入内网,但还是对整个内网不熟悉。
所以,我的淫抓伸向了网络设置。
利用上面的cmd telnet 网络设备,尝试口令猜解。

3.png


4.png


用doc扫描了下,telnet获取了一下网络设备,密码都是弱密码。
show version了下,整理了一份列表。(土豪企业,全是思科)

CISCO7609	10.100.*.248
CISCO3825 10.100.*.2
CISCO3725 10.100.*.254
CISCO4510R 10.100.*.254
CISCO3750G 10.100.*.252
CISCO32960G-01 10.100.*.249
CISCO32960G-02 10.100.*.246
CISCO32960G-03 10.100.*.245
CISCO32960G-04 10.100.*.247
CISCO3560G 10.100.*.254
CISCO2960G 10.100.*.251
ASA5510-01 10.100.*.248
ASA5510-02 10.100.*.253
ASA5510-03 10.100.*.247
ASA5510-04 10.100.*.252
Juniper NS204 10.100.*.249
Huawei Edm200 10.100.*.250
CISCO3560G 10.100.*.254
PIX525 10.100.*.245
CISCO2960G-01 10.100.*.252
CISCO2960G-02 10.100.*.251
CISCO3550-03 10.100.*.250
CISCO3550-04 10.100.*.249
CISCO2960G-01 10.100.*.248
CISCO2960G-02 10.100.*.247
CISCO2960G-03 10.100.*.244
CISCO2960G-01 10.100.*.246


大部分网络构架也算是搞明白了,自己画了个小拓扑,历时3个小时的简单测试也算告一段落了。

1.png

漏洞证明:

1>信息收集
利用百度和谷歌还有自己的社工库查询等,收集了100+的企业邮箱帐号。

1.png


2>fuzz,尝试自己组合了几种针对华泰保险的密码

Hutai123
Ht123456
Huatai520
HT1234
huatai123
ht123456
huatai520
ht1234
....


3>成功fuzz出几个帐号,这里我拿其中一个举例。

zhangqingzhao  Hutai123


2.png


4>获取敏感信息。
我获取了一个vpn登录帐号

https://219.141.242.12
VPN用户名:2398
VPN密 码:4519


3.png


登录发现获取到的地址只是172的地址,不对套路阿。
于是乎,我扫描了172的其他地址。

4.png


利用之前信息收集中的信息,成功登录一个核心系统。

5.png


再快没有头绪不想继续搞下去的时候,我看了下厂商的漏洞列表。
发现内网地址确实是10开头的。
莫非... 还有其他的VPN?
我扫描了202.108.103.0/24的443端口。

6.png


找到了这个登陆地址,尝试利用刚才的VPN帐号密码登录,果然提示错误.
后来测试很多默认口令。
test test
sangfor sangfor
等...
这个VPN登录帐号密码,会不会就是OA和邮箱的密码?或者说是域密码?
我又回头看了下OA和邮箱。

7.png


果然如此
尝试利用邮箱帐号登录VPN

8.png


成功,上天还是眷恋我的。
登录进来打开系统链接,发现自己虽然连接上了VPN,但是却没有获取内网IP地址。
猜测是内网的堡垒机进行了中转后,利用IE浏览器来直接执行。

9.png


10.png


文件-打开-直接可以绕过这个简单的沙盒。

11.png


12.png

13.png


民用燃气保险卡数据导入平台注入
http://10.100.1.83:7001/teamserver/faces/home.jsp

14.png

15.png

16.png


1.png


2.png


至此,进入内网,但还是对整个内网不熟悉。
所以,我的淫抓伸向了网络设置。
利用上面的cmd telnet 网络设备,尝试口令猜解。

3.png


4.png


用doc扫描了下,telnet获取了一下网络设备,密码都是弱密码。
show version了下,整理了一份列表。(土豪企业,全是思科)

CISCO7609	10.100.*.248
CISCO3825 10.100.*.2
CISCO3725 10.100.*.254
CISCO4510R 10.100.*.254
CISCO3750G 10.100.*.252
CISCO32960G-01 10.100.*.249
CISCO32960G-02 10.100.*.246
CISCO32960G-03 10.100.*.245
CISCO32960G-04 10.100.*.247
CISCO3560G 10.100.*.254
CISCO2960G 10.100.*.251
ASA5510-01 10.100.*.248
ASA5510-02 10.100.*.253
ASA5510-03 10.100.*.247
ASA5510-04 10.100.*.252
Juniper NS204 10.100.*.249
Huawei Edm200 10.100.*.250
CISCO3560G 10.100.*.254
PIX525 10.100.*.245
CISCO2960G-01 10.100.*.252
CISCO2960G-02 10.100.*.251
CISCO3550-03 10.100.*.250
CISCO3550-04 10.100.*.249
CISCO2960G-01 10.100.*.248
CISCO2960G-02 10.100.*.247
CISCO2960G-03 10.100.*.244
CISCO2960G-01 10.100.*.246


大部分网络构架也算是搞明白了,自己画了个小拓扑,历时3个小时的简单测试也算告一段落了。

1.png

修复方案:

默认口令一定要修改!!!

版权声明:转载请注明来源 _Thorns@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-11-30 12:08

厂商回复:

非常感谢,我们尽快修复

最新状态:

2015-12-16:密码已经更改,再次感谢


漏洞评价:

评价