当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0173038

漏洞标题:征信安全之中诚信征信有限公司主站漏洞Getshell(涉及内网与征信系统核心网段)

相关厂商:中诚信征信有限公司

漏洞作者: 艺术家

提交时间:2016-01-27 14:59

修复时间:2016-03-10 16:42

公开时间:2016-03-10 16:42

漏洞类型:后台弱口令

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-01-27: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-03-10: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

拿到全国上下就八张可以做个人征信牌照的,你们可是其中一家。征信条例里面可有,违反,或者泄漏信息两次是可以吊销牌照的。
经营个人征信业务的征信机构,应当符合《中华人民共和国公司法》规定的公司设立条件和下列条件,并经国务院征信业监督管理部门批准:
(一)主要股东信誉良好,最近3年无重大违法违规记录;
(二)注册资本不少于人民币5000万元;
(三)有符合国务院征信业监督管理部门规定的保障信息安全的设施、设备和制度、措施;
(四)拟任董事、监事和高级管理人员符合本条例第八条规定的任职条件;
(五)国务院征信业监督管理部门规定的其他审慎性条件。

详细说明:

1.jpg

漏洞证明:

找了半天,终于找到了后台。为什么要后台了?你完全可以做成静态的。征信的主页基本都这样。主站啊,不能打脸了。
http://www.ccxcredit.com.cn/u_l
既然密码是: admin 123456(还让我跑了10W的字典,shit,sun of bitch/)
我的灵感告诉我,这种站,后台有上传肯定可以getshell

2.jpg


找到了上传的。应该可以上传JS判定。

3.jpg


拿到shell

1.jpg


找一些内网的信息:

#mysql config
db.driver.class=com.mysql.jdbc.Driver
#db.url=jdbc:mysql://localhost:3306/zx_news_db
#db.username=admin
#db.password=admin
db.url=jdbc:mysql://10.1.80.37:3306/zx_news_db?useUnicode=true&characterEncoding=UTF-8
db.username=test
db.password=test
#db.url=jdbc:mysql://10.0.5.152:3306/zx_news_db
#db.username=root
#db.password=123456
#oracle config
#db.driver.class = oracle.jdbc.driver.OracleDriver
#db.url = jdbc:oracle:thin:@10.0.1.40:1521:ccxe
#db.username = pccredit
#db.password = pccredit
#db.schema = PCCREDIT
#org upload file dir
org_file_path = resources/file_uploads
#nh xw score model supply project 1nh_xw_score_model_supplier = http://10.0.5.152:8080/ccx_credit_nm_20141210


ifconfig 
[/usr/tips/apache-tomcat-7.0.59/webapps/ccxportal/attached/image/20160127/]$ ifconfig
bond0 Link encap:Ethernet HWaddr D4:85:64:48:E5:D8
inet addr:10.1.80.37 Bcast:10.1.80.255 Mask:255.255.255.0
inet6 addr: fe80::d685:64ff:fe48:e5d8/64 Scope:Link
UP BROADCAST RUNNING MASTER MULTICAST MTU:1500 Metric:1
RX packets:215013915 errors:0 dropped:0 overruns:0 frame:0
TX packets:105061985 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:19123235861 (17.8 GiB) TX bytes:112949825904 (105.1 GiB)
eth0 Link encap:Ethernet HWaddr D4:85:64:48:E5:D8
UP BROADCAST RUNNING SLAVE MULTICAST MTU:1500 Metric:1
RX packets:150213515 errors:0 dropped:0 overruns:0 frame:0
TX packets:105061984 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:14426070048 (13.4 GiB) TX bytes:112949825810 (105.1 GiB)
Interrupt:114 Memory:fb000000-fb7fffff
eth1 Link encap:Ethernet HWaddr D4:85:64:48:E5:D8
UP BROADCAST RUNNING SLAVE MULTICAST MTU:1500 Metric:1
RX packets:64800400 errors:0 dropped:0 overruns:0 frame:0
TX packets:1 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:4697165813 (4.3 GiB) TX bytes:94 (94.0 b)
Interrupt:122 Memory:fa000000-fa7fffff
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:20860426 errors:0 dropped:0 overruns:0 frame:0
TX packets:20860426 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:24514978721 (22.8 GiB) TX bytes:24514978721 (22.8 GiB)


征信的怎么能用这样的密码。。。这样的网络结构。。。
征信要等保三级。这怎么能过的。
扫一下网段信息。

http://10.1.80.37 >> 中诚信征信有限公司>>Apache-Coyote/1.1 >>Success
http://10.1.80.45 >> Insert title here>>Apache-Coyote/1.1 >>Success
http://10.1.80.21 >> >>Serv-U/10.5.0.11 >>Success
http://10.1.80.3 >> Log In - Juniper Web Device Manager>>Mbedthis-Appweb/2.4.0 >>Success
http://10.1.80.2 >> Log In - Juniper Web Device Manager>>Mbedthis-Appweb/2.4.0 >>Success
http://10.1.80.1 >> Log In - Juniper Web Device Manager>>Mbedthis-Appweb/2.4.0 >>Success
http://10.0.5.254 >> Log In - Juniper Web Device Manager>>Mbedthis-Appweb/2.4.0 >>Success
10.1.130.56
http://10.1.130.57 >> phpinfo()>>Apache/2.2.3 (Red Hat) >>Success
http://10.1.130.55 >> >>Apache/2.2.6 (Win32) mod_jk/1.2.21 >>Success
http://10.1.130.159 >> 302 Found>>Apache >>Success
http://10.1.130.111 >> >>Apache >>Success
http://10.1.130.156 >> 302 Found>>Apache >>Success
http://10.1.130.112 >> >>Apache >>Success
http://10.0.1.22 >> >>Apache/2.2.12 (Ubuntu) >>Success
http://10.0.1.28 >> IIS7>>Microsoft-IIS/7.5 >>Success
http://10.0.1.250 >> Index>>Hikvision-Webs >>Success
http://10.0.1.254 >> Log In - Juniper Web Device Manager>>Mbedthis-Appweb/2.4.0 >>Success (APP生产网断)
http://10.0.5.254 >> Log In - Juniper Web Device Manager>>Mbedthis-Appweb/2.4.0 >>Success


既然网段没有隔离。 WAF了?IDS?IPS?防火墙?专网?VDI?为什么都没有限制?
[/usr/tips/apache-tomcat-7.0.59/webapps/ccxportal/attached/image/20160127/]$ nmap -iflist
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2016-01-27 14:01 CST
************************INTERFACES************************
DEV (SHORT) IP/MASK TYPE UP MAC
lo (lo) 127.0.0.1/8 loopback up
bond0 (bond0) 10.1.80.37/24 ethernet up D4:85:64:48:E5:D8
**************************ROUTES**************************
DST/MASK DEV GATEWAY
10.1.80.0/0 bond0
169.254.0.0/0 bond0
0.0.0.0/0 bond0 10.1.80.1
我的天了。

修复方案:

你们可是拿着中国人民的所有数据呀,这些数据泄密是可以吊销牌照的。千辛万苦才拿到的牌照你们不心痛呀?忘记XX公司了嘛?

版权声明:转载请注明来源 艺术家@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:17 (WooYun评价)


漏洞评价:

评价

  1. 2016-01-28 01:01 | zeracker 认证白帽子 ( 普通白帽子 | Rank:1077 漏洞数:139 | 多乌云、多机会!微信公众号: id:a301zls ...)

    这....

  2. 2016-01-28 16:30 | 艺术家 ( 普通白帽子 | Rank:301 漏洞数:69 | 我觉得我像个艺术家。)

    @zeracker 大牛,是不是你删除了我的shell,我还在扫描了

  3. 2016-01-28 20:44 | zeracker 认证白帽子 ( 普通白帽子 | Rank:1077 漏洞数:139 | 多乌云、多机会!微信公众号: id:a301zls ...)

    @艺术家 虽然听不懂你在说什么,但是感觉很厉害的样子