英德教育局存在高危漏洞导致连带效应(清远教育局等多个政务网络受影响)

2017年4月5日01:39:17评论274 views字数 287阅读0分57秒阅读模式

摘要

2016-03-28：细节已通知厂商并且等待厂商处理中
2016-04-01：厂商已经确认，细节仅向厂商公开
2016-04-11：细节向核心白帽子及相关领域专家公开
2016-04-21：细节向普通白帽子公开
2016-05-01：细节向实习白帽子公开
2016-05-16：细节向公众公开

漏洞概要关注数(2) 关注此漏洞

缺陷编号： WooYun-2016-189825

漏洞标题：英德教育局存在高危漏洞导致连带效应(清远教育局等多个政务网络受影响)

漏洞作者： T0n9

提交时间： 2016-03-28 14:00

公开时间： 2016-05-16 14:50

漏洞类型：成功的入侵事件

危害等级：高

自评Rank： 20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：第三方框架任意文件上传渗透测试思路安全意识不足任意文件上传渗透测试思路安全意识不足

1人收藏

漏洞详情

披露状态：

简要描述：

典型的蝴蝶效应…
一个小小的密码泄露到教育局内网和控制各各学校的摄像头，泄露大量内网信息

26号晚上十一点左右开始的由于时间问题并没有深入点到为止。

详细说明：

影响

清远市的没有统计，英德市基本的32个镇80多个学校网站和教育局内网可控制教育局内网摄像头和打印机等…

英德教育局所在的内网很大都多个办公和政府网段。

英德教育局主站地址：**.**.**.**

前期踩点和收集信息获取到了admin的密码

code 区域

admin
 zhu2822250

成功进入后台

通过添加自定义页面成功拿到shell

由于是2008r2的服务而且只有一个补丁很顺利的就拿到了服务器最高权限

添加了账号

test

zxc1230.0

由于主机在内网于是自己开启了3389 再用lcx将3389端口转发出来了然后直接进内网

内网信息

整个地区的学校都在这台服务器上威胁可想而知

下面是服务器上大概的学校名称

code 区域

2014/12/16  09:04    <DIR>          .
 2014/12/16  09:04    <DIR>          ..
 2014/10/07  12:27    <DIR>          下太学校
 2014/10/07  12:27    <DIR>          东华中小
 2014/10/07  12:27    <DIR>          九龙中学
 2014/10/07  12:27    <DIR>          九龙中小
 2014/10/07  12:27    <DIR>          九龙二中
 2014/10/07  12:27    <DIR>          云岭中学
 2014/10/07  12:27    <DIR>          北江学校
 2014/10/07  12:27    <DIR>          华粤中英文学校
 2014/10/07  12:27    <DIR>          华粤培训中心
 2014/10/07  12:27    <DIR>          华粤复读学校
 2014/10/07  12:27    <DIR>          华粤实验小学
 2014/10/07  12:27    <DIR>          华粤艺术幼儿园
 2014/10/07  12:27    <DIR>          华粤艺校
 2014/10/07  12:27    <DIR>          华粤集团网站
 2014/10/07  12:27    <DIR>          南华学校
 2014/10/07  12:27    <DIR>          印山中学
 2014/10/07  12:27    <DIR>          含光中学
 2014/10/07  12:27    <DIR>          含光中小
 2014/10/07  12:28    <DIR>          含光二小
 2014/10/07  12:28    <DIR>          城北小学
 2014/10/07  12:28    <DIR>          大洞学校
 2014/10/07  12:28    <DIR>          大湾中学
 2014/10/07  12:28    <DIR>          大湾中小
 2014/10/07  12:28    <DIR>          大镇中学
 2014/10/07  12:28    <DIR>          实验中学
 2014/10/07  12:28    <DIR>          广传汉文化
 2014/10/07  12:28    <DIR>          文武学校
 2014/10/07  12:28    <DIR>          智通学校
 2014/10/07  12:28    <DIR>          望埠中学
 2014/10/07  12:28    <DIR>          望埠中小
 2014/10/07  12:28    <DIR>          机关幼儿园
 2014/10/07  12:28    <DIR>          桥头中小
 2014/10/07  12:28    <DIR>          横石塘中学
 2014/10/07  12:28    <DIR>          横石塘中小
 2014/10/07  12:28    <DIR>          横石水中学
 2014/10/07  12:28    <DIR>          横石水中小
 2014/10/07  12:28    <DIR>          水边学校
 2014/10/07  12:28    <DIR>          沙口中学
 2014/10/07  12:28    <DIR>          沙口中小
 2014/10/07  12:28    <DIR>          波罗学校
 2014/10/07  12:28    <DIR>          测试
 2014/10/07  12:28    <DIR>          清远中英文学校
 2014/10/07  12:28    <DIR>          田家炳中学
 2014/10/07  12:28    <DIR>          白沙中学
 2014/10/07  12:29    <DIR>          白沙中小
 2014/10/07  12:29    <DIR>          益海小学
 2014/10/07  12:29    <DIR>          石灰铺中学
 2014/10/07  12:29    <DIR>          石灰铺中小
 2014/10/07  12:29    <DIR>          石牯塘中学
 2014/10/07  12:29    <DIR>          石牯塘中心小学
 2014/10/07  12:29    <DIR>          网站模板
 2014/10/07  12:29    <DIR>          网站模板 - 副本
 2014/10/07  12:29    <DIR>          英东中学
 2014/10/07  12:29    <DIR>          英城中小
 2014/12/16  09:04    <DIR>          英城幼儿园
 2014/10/07  12:29    <DIR>          英城街中学
 2014/10/07  12:29    <DIR>          英德一中
 2014/10/07  12:29    <DIR>          英德一小
 2014/10/07  12:29    <DIR>          英德七小
 2014/10/07  12:29    <DIR>          英德三小
 2014/10/07  12:29    <DIR>          英德中学
 2014/10/07  12:30    <DIR>          英德二中
 2014/10/07  12:30    <DIR>          英德五小
 2014/10/07  12:30    <DIR>          英德八小
 2014/10/07  12:30    <DIR>          英德六小
 2014/10/07  12:30    <DIR>          英德四小
 2014/10/07  12:30    <DIR>          英德市八中
 2014/10/07  12:30    <DIR>          英德职校
 2014/10/07  12:30    <DIR>          英红学校
 2014/10/07  12:30    <DIR>          英西中学
 2014/10/07  12:30    <DIR>          西牛中学
 2014/10/07  12:30    <DIR>          西牛中小
 2014/10/07  12:30    <DIR>          连江中学
 2014/10/07  12:30    <DIR>          连江中小
 2014/10/07  12:30    <DIR>          连法院
 2014/10/07  12:30    <DIR>          青坑学校
 2014/10/07  12:30    <DIR>          青塘中学
 2014/10/07  12:30    <DIR>          青塘中心小学
 2014/10/07  12:30    <DIR>          鱼湾中学
 2014/10/07  12:30    <DIR>          鱼湾中小
 2014/10/07  12:30    <DIR>          黄花中学
 2014/10/07  12:30    <DIR>          黄花中小
 2014/10/07  12:30    <DIR>          黄陂中学
 2014/10/07  12:30    <DIR>          黄陂中小
 2014/10/07  12:30    <DIR>          黎溪中学
 2014/10/07  12:30    <DIR>          黎溪中小
                0 个文件              0 字节
               88 个目录 45,318,262,784 可用字节

内网特别大，58 IP段存活主机（当前服务器存在的IP段）

内部共享资料与文件

可控制打印机

可控制各个学校大量摄像头

海康威视摄像头弱口令 12345

我从 **.**.**.** 扫到 **.**.**.**

差不多有好几百个摄像头还不带重复的还有很多打印机

摄像头分多个地区多个学校

随便挑了几个案例图太多了.. 贴一点...

大量内网资料泄露

粗略扫了一下80和3389

code 区域

**.**.**.**         80号端口打开
 **.**.**.**       80号端口打开
 **.**.**.**54       80号端口打开
 **.**.**.**         80号端口打开
 **.**.**.**        80号端口打开
 **.**.**.**29       80号端口打开
 **.**.**.**       80号端口打开
 **.**.**.**         80号端口打开
 **.**.**.**        80号端口打开
 **.**.**.**       80号端口打开
 **.**.**.**98       80号端口打开
 **.**.**.**       80号端口打开
 **.**.**.**       80号端口打开
 **.**.**.**       80号端口打开
 **.**.**.**       80号端口打开
 **.**.**.**       80号端口打开
 **.**.**.**       80号端口打开
 **.**.**.**       80号端口打开
 **.**.**.**       80号端口打开
 **.**.**.**       80号端口打开
 **.**.**.**       80号端口打开
 **.**.**.**       80号端口打开
 **.**.**.**         80号端口打开
 **.**.**.**       80号端口打开
 **.**.**.**        80号端口打开
 **.**.**.**        80号端口打开
 **.**.**.**        80号端口打开
 **.**.**.**       80号端口打开
 **.**.**.**1       80号端口打开
 **.**.**.**       80号端口打开
 **.**.**.**       80号端口打开
 **.**.**.**       80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**       80号端口打开
 **.**.**.**       80号端口打开
 **.**.**.**       80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**        80号端口打开
 **.**.**.**        80号端口打开
 **.**.**.**        80号端口打开
 **.**.**.**        80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**        80号端口打开
 **.**.**.**        80号端口打开
 **.**.**.**        80号端口打开
 **.**.**.**        80号端口打开
 **.**.**.**        80号端口打开
 **.**.**.**        80号端口打开
 **.**.**.**        80号端口打开
 **.**.**.**        80号端口打开
 **.**.**.**        80号端口打开
 **.**.**.**0       80号端口打开
 **.**.**.**1       80号端口打开
 **.**.**.**2       80号端口打开
 **.**.**.**3       80号端口打开
 **.**.**.**4       80号端口打开
 **.**.**.**8       80号端口打开
 **.**.**.**19      80号端口打开
 **.**.**.**55      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**        80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**       80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**2      80号端口打开
 **.**.**.**3      80号端口打开
 **.**.**.**5      80号端口打开
 **.**.**.**7      80号端口打开
 **.**.**.**8      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**      80号端口打开
 **.**.**.**        80号端口打开
 .....
 
 指定扫了几个段的3389、4899
 **.**.**.**       3389号端口打开
 **.**.**.**       3389号端口打开
 **.**.**.**       3389号端口打开
 **.**.**.**       3389号端口打开
 **.**.**.**       3389号端口打开
 **.**.**.**       3389号端口打开
 **.**.**.**        3389号端口打开
 **.**.**.**      3389号端口打开
 **.**.**.**      3389号端口打开
 **.**.**.**      3389号端口打开
 **.**.**.**      3389号端口打开
 **.**.**.**8       3389号端口打开
 **.**.**.**        3389号端口打开
 **.**.**.**      3389号端口打开
 **.**.**.**       3389号端口打开
 **.**.**.**        3389号端口打开
 **.**.**.**       3389号端口打开
 **.**.**.**      3389号端口打开
 **.**.**.**      3389号端口打开

8080的也不少竟然还有4899

80多端口很多是内部的平台

一些IPC

内部平台

国家教育考试网上巡查系统

教师考评

大量弱口令

Sa弱口令直接进入服务器

**.**.**.**

Mssql 弱口令

code 区域

sa
 123456

添加了账号

code 区域

test
 zxc1230.0

code 区域

管理员密码
 Admin
 222725

10.188.6.* 这个段基本是清远市第一中学和清远教育局的

清远教育局

**.**.**.** --> **.**.**.**

http://**.**.**.**/ --> 清远资源

http://**.**.**.**/ --> 清远教育局教学视频应用云平台

…..

http://**.**.**.**/cgi-bin/web_cgi_main.cgi

清远教育局RDU智能监控单元默认密码 admin emerson

http://**.**.**.**/v2/index.html

Storage Management Utility 默认密码 manage !manage

内网图书馆系统万能密码

内网论文库注入

内网英德课件点播平台shell

http://**.**.**.**/N.aspx

数据库信息

code 区域

Catalog=kejian;Persist Security Info=True;User ID=sa;Password=815460

提权添加的账号密码

code 区域

test zxc1230.0

账号已删

漏洞证明：

修复方案：

内网很大，密码很弱！

时间不足，如果一直渗透下去的话估计收获会很大！危害也会变得很大！

版权声明：转载请注明来源 T0n9@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：11

确认时间：2016-04-01 14:48

厂商回复：

CNVD确认所述情况,已经转由CNCERT下发给广东分中心,由其后续协调网站管理单位处置.

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞概要 关注数(2) 关注此漏洞

缺陷编号： WooYun-2016-189825

漏洞标题： 英德教育局存在高危漏洞导致连带效应(清远教育局等多个政务网络受影响)

相关厂商： 英德教育局,清远教育局

漏洞作者： T0n9

提交时间： 2016-03-28 14:00

公开时间： 2016-05-16 14:50

漏洞类型： 成功的入侵事件

危害等级： 高

自评Rank： 20

漏洞状态： 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 第三方框架 任意文件上传 渗透测试思路 安全意识不足 任意文件上传 渗透测试思路 安全意识不足

1人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 T0n9@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(2) 关注此漏洞

漏洞标题：英德教育局存在高危漏洞导致连带效应(清远教育局等多个政务网络受影响)

相关厂商：英德教育局,清远教育局

漏洞类型：成功的入侵事件

危害等级：高

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签：第三方框架任意文件上传渗透测试思路安全意识不足任意文件上传渗透测试思路安全意识不足

漏洞评价(共0人评价):

登陆后才能进行评分