当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-093643

漏洞标题:对锦江之星的一次内网安全测试全过程(影响所有jinjianghotels域名)

相关厂商:锦江之星旅馆有限公司

漏洞作者: s3xy

提交时间:2015-01-24 02:41

修复时间:2015-01-29 02:42

公开时间:2015-01-29 02:42

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-24: 细节已通知厂商并且等待厂商处理中
2015-01-29: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

对锦江之星的一次内网渗透。影响所有jinjianghotels域名。威胁所有内网数据。从一个切入点扩大到一个域的案列。

详细说明:

首先在确定了测试目标为锦江之星后,经过第一阶段的信息收集阶段,得到重要入手点:
邮箱账号

mask 区域 
*****nghote*****


密码

mask 区域 
*****w!*****


登陆地址为

mask 区域 
1.https://**.**.**/


hh1.png


可以看到,这是锦江之星的一个发信邮箱。
虽然涉及到的用户密码很多,但是无法继续深入。
经过我的猜测,此密码很有可能是内部IT部门某人的邮箱密码。
然后,我导出mail内IT部门用户列表,密码设置为

mask 区域 
*****w!*****

爆破。
成功爆破出用户

mask 区域 
*****jiangh*****


hh2.png


然后便是继续收集敏感信息。
包括内部用户密码

hh3.png


mask 区域 
*****0.168.*****


hh4.png


本来以为有了vpn地址和用户密码就可以直接进入内网了。
但是发现以用户

mask 区域 
*****n.*****
*****w!*****


登陆vpn后,依然无法访问某些内网地址。
经过继续测试,发现还需要登陆citrix xenapp

mask 区域 
1.http://**.**.**/


继续以此用户登陆

hh5.png


登陆后发现有cmd功能,但是无法使用。
利用可用的IE浏览器,输入C:\成功进入c盘符。

hh6.png


然后运行cmd什么的就无压力了,至此成功进入内网。
经过一天的渗透后,得知根域超级管理员的密码为123qwe!@#QWE
有了超级管理员密码,所有数据便无法遁形了。
***************************
渗透结果
r8系统服务器

jj01.png


jj02.png


jj03.png


jj04.png


jj05.png


exchange服务器

jj06.png


jj07.png


jj08.png


jj09.png


根服务器,可修改所有域名解析。

jj10.png


jj11.png


jj12.png


jj13.png


jj14.png

漏洞证明:

另外渗透包括srm等系统数据库密码。
部分数据库截图证明

hh01.png


hh02.png


部分内部系统证明

hh03.png


hh04.png


jj5.png


jj2.png


当然,进入内网后这些数据库都已经一览无余了。
【没有继续去翻看内网,所有锦江的住户信息、内部数据库未动。】

修复方案:

增强用户安全意识。
建议用户定期更换密码。
做好内网安全。

版权声明:转载请注明来源 s3xy@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-01-29 02:42

厂商回复:

漏洞Rank:20 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2015-01-24 10:10 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    土豪,住这么好的酒店。

  2. 2015-01-24 10:31 | 几何黑店 ( 核心白帽子 | Rank:1527 漏洞数:231 | 我要低调点儿.......)

    ...... 我现在就在锦江之星

  3. 2015-01-24 11:31 | p4ssw0rd ( 普通白帽子 | Rank:306 漏洞数:92 | 不作死就不会死)

    你到底约了几个妹子拿下的内网!

  4. 2015-01-29 08:55 | f4ck ( 实习白帽子 | Rank:42 漏洞数:7 | 有些人很牛B,一个漏洞能刷成N个。)

    已报警。

  5. 2015-01-29 09:02 | bey0nd ( 普通白帽子 | Rank:895 漏洞数:142 | 相忘于江湖,不如相濡以沫)

    忽略,呵呵了

  6. 2015-01-29 09:28 | keeley ( 路人 | Rank:20 漏洞数:7 | 珍惜生命,远离黑阔)

    无良厂商!

  7. 2015-01-29 09:42 | p4ssw0rd ( 普通白帽子 | Rank:306 漏洞数:92 | 不作死就不会死)

    无良厂商!

  8. 2015-01-29 10:05 | BMa ( 普通白帽子 | Rank:1776 漏洞数:200 )

    干得漂亮 内网渗透很好的例子

  9. 2015-01-29 11:00 | im503 ( 路人 | Rank:16 漏洞数:8 | 失踪的路人甲| Rank:-503 漏洞数:0 |爱pyth...)

    无影响厂商忽略

  10. 2015-01-29 11:56 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @s3xy 已补rank与精华

  11. 2015-01-29 12:04 | s3xy ( 核心白帽子 | Rank:832 漏洞数:113 | 相濡以沫,不如相忘于江湖)

    @疯狗 感谢狗哥!

  12. 2015-01-29 12:38 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @s3xy 仍尝试唤醒 @锦江之星旅馆有限公司 技术人员修漏洞中。。

  13. 2015-02-01 20:19 | Yinz ( 路人 | Rank:0 漏洞数:2 | //)

    内网漫游都忽略,无良啊

  14. 2015-02-01 20:38 | qhwlpg ( 普通白帽子 | Rank:226 漏洞数:54 | 潜心代码审计。)

    庄家玩不起了--

  15. 2015-03-07 12:56 | 天明 ( 实习白帽子 | Rank:59 漏洞数:17 | 我要为大叔报仇。)

    无良厂商!