当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0200209

漏洞标题:中兴软创某重要站点多个漏洞打包(Getshell\影响10台服务器数十个web应用\涉及多个数据库账户)

相关厂商:中兴软创科技股份有限公司

漏洞作者: 默之

提交时间:2016-04-26 22:02

修复时间:2016-06-11 09:30

公开时间:2016-06-11 09:30

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-04-26: 细节已通知厂商并且等待厂商处理中
2016-04-27: 厂商已经确认,细节仅向厂商公开
2016-05-07: 细节向核心白帽子及相关领域专家公开
2016-05-17: 细节向普通白帽子公开
2016-05-27: 细节向实习白帽子公开
2016-06-11: 细节向公众公开

简要描述:

怎么搞的呢?==!

详细说明:

http://218.107.6.142:7777/


弱口令admin/123456 test/123
两个都是管理员账户,权限非常大
(证明一下ip的归属公司)

证明.png


em1       Link encap:Ethernet  HWaddr F8:BC:12:4E:E8:34  
inet addr:10.45.47.91 Bcast:10.45.47.255 Mask:255.255.255.0
inet6 addr: fe80::fabc:12ff:fe4e:e834/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1187328693 errors:0 dropped:0 overruns:0 frame:17
TX packets:1200637718 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:323269515666 (301.0 GiB) TX bytes:345930600004 (322.1 GiB)
Interrupt:35
em2 Link encap:Ethernet HWaddr F8:BC:12:4E:E8:35
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Interrupt:38
em3 Link encap:Ethernet HWaddr F8:BC:12:4E:E8:36
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Interrupt:34
em4 Link encap:Ethernet HWaddr F8:BC:12:4E:E8:37
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Interrupt:36
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:532632463 errors:0 dropped:0 overruns:0 frame:0
TX packets:532632463 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:353491851181 (329.2 GiB) TX bytes:353491851181 (329.2 GiB)
virbr0 Link encap:Ethernet HWaddr 52:54:00:9E:7C:3E
inet addr:192.168.122.1 Bcast:192.168.122.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:24309 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:1120720 (1.0 MiB)


本机ip是10.45.47.91,本机活着的web应用就有18个

数十个web应用.png


基本上每个端口对应一个应用,weblogic,tomcat等等

端口.png


多个domain.png


应用管理界面,可远程部署war包,上传文件等操作

应用管理.png


远程管理应用,翼推微商城,好像没听说过,不过涉及到支付中心,订单什么的,影响应该不小

远程管理.png


更牛的一个功能是可以远程执行命令,可以远程shell,怎么做可以见这里,不演示

http://www.secpulse.com/archives/2166.html


shell1.png


mysql.png


服务器管理界面,10台服务器ssh,账号密码(可以代理进入内网,直接管控服务器)

ssh.png


各个服务器上的应用,一目了然

各个服务器上的应用.png


项目配置管理界面泄露了多个数据库账号,还有好几个,只演示三个

数据库1.png


数据库2.png


数据库3.png


我能说所有用户都是弱口令吗?

弱口令.png

漏洞证明:

说一下getshell,多种姿势:weblogic后台弱口令,上传,java反序列化。

http://218.107.6.142:7777/console/


weblogic后台弱口令
weblogic/weblogic123

weblogic弱口令.png


其他的也是弱口令,建议好好排查一下

http://218.107.6.142:8008/console/


weblogic弱口令1.png


任意文件上传得到shell

上传shell1.png


上传shell.png


shell.png


http://218.107.6.142:7777/attach/da.jsp


java反序列化

java.png


内网渗透没条件,到此结束了

修复方案:

修改密码,加强员工安全教育
反序列化可以参考网上的一些方法,或者drops中的。修复weblogic的弱口令,多个端口应该都可以登陆的,没有一个个测试
http://drops.wooyun.org/web/13470
上传如果可以的话验证一下上传内容,或者强制更改名字

版权声明:转载请注明来源 默之@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2016-04-27 09:27

厂商回复:

非常感谢默之@乌云的提醒,该地址为我司对外的测试应用,还未正式上线使用,其中内部的服务器区域在我司的DMZ区域(及测试区域),暂不能影响我司对公应用(正式环境)。但弱口令使用的非常多,也暴露了我司测试人员对信息安全的不重视,在此,对默之@乌云的提醒表示衷心的感谢,希望能够提供更多对我司有影响的漏洞,鞭策我司。

最新状态:

暂无


漏洞评价:

评价

  1. 2016-04-27 09:31 | 默之 ( 普通白帽子 | Rank:1615 漏洞数:254 | 沉淀。)

    看来没有连接一下数据库证明危害,厂商就觉着是小问题呀@中兴软创科技股份有限公^^^