城市热点安全隐患导致内网渗透(结合前人+客户数据威胁)

admin
admin
admin
144029
文章
118
评论
2015年6月14日13:11:32评论527 views字数 257阅读0分51秒阅读模式
摘要

2014-09-13: 细节已通知厂商并且等待厂商处理中
2014-09-15: 厂商已经确认,细节仅向厂商公开
2014-09-25: 细节向核心白帽子及相关领域专家公开
2014-10-05: 细节向普通白帽子公开
2014-10-15: 细节向实习白帽子公开
2014-10-26: 细节向公众公开

漏洞概要 关注数(18) 关注此漏洞

缺陷编号: WooYun-2014-75749

漏洞标题: 城市热点安全隐患导致内网渗透(结合前人+客户数据威胁)

相关厂商: 城市热点

漏洞作者: 蓝冰

提交时间: 2014-09-13 00:04

公开时间: 2014-10-26 00:06

漏洞类型: 成功的入侵事件

危害等级: 高

自评Rank: 20

漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 弱口令 任意文件上传 渗透测试思路 任意文件上传 渗透测试思路

0人收藏

漏洞详情

披露状态:

2014-09-13: 细节已通知厂商并且等待厂商处理中
2014-09-15: 厂商已经确认,细节仅向厂商公开
2014-09-25: 细节向核心白帽子及相关领域专家公开
2014-10-05: 细节向普通白帽子公开
2014-10-15: 细节向实习白帽子公开
2014-10-26: 细节向公众公开

简要描述:

@这公司不靠谱
来个广告
http://www.cityhotspot.com.cn/index.php?m=link 用户涉及 政府 教育 企业等
mac 鼓捣好久才上了城市热点 还得web登录 希望改善啊 总是关机前忘记注销,下一次还得强制离线 能否开发个通用得mac登录工具啊

求首页 我能不能升普通白帽 全靠 审核大大跟cnvd了

详细说明:

渗透起源于wooyun 前案例 http://**.**.**.**/bugs/wooyun-2010-020779

城市热点安全隐患导致内网渗透(结合前人+客户数据威胁)

发现 有外网入口 于是利用该用户密码登录了一下 密码当然修改了 已经不事这个密码了

然后发现密码是 名字缩写+drcom123 组成的 初始密码 所以只要拿到员工名单就可以以默认密码尝试登录 于是利用 目录遍历漏洞 找到了 考勤数据库 mdb格式的

**.**.**.**:99/test/kq.mdb

城市热点安全隐患导致内网渗透(结合前人+客户数据威胁)

顺利找到一个普通权限的进去 发表文章上传附件 php跟asp有过滤 aspx没有过滤 上传aspx一句话后上传php 获得管理员权限(windows环境)

城市热点安全隐患导致内网渗透(结合前人+客户数据威胁)

内网ip 利用 htran 开反弹代理 成功进入内网

数据库 root drcom

连接数据库 破解密码 撞库登录网易企业邮箱

找到一个系统

城市热点安全隐患导致内网渗透(结合前人+客户数据威胁)

用户名 hgs 密码 admin

该系统只对前台进行了上传过滤 抓包改后缀名 上传 jsp一句话

城市热点安全隐患导致内网渗透(结合前人+客户数据威胁)

收集信息

<driver-url>jdbc:oracle:thin:@**.**.**.**:2505:drcom</driver-url>

<driver-class>oracle.jdbc.driver.OracleDriver</driver-class>

<driver-properties>

<property name="user" value="drcom"/>

<property name="password" value="drcom"/>

<driver-url>jdbc:mysql://**.**.**.**:3306/drcomweixin</driver-url>

<driver-class>com.mysql.jdbc.Driver</driver-class>

<driver-properties>

<property name="characterEncoding" value="UTF-8"/>

<property name="user" value="root"/>

<property name="password" value="drcom"/>

我相信 这绝对不是偶然 密码都是 drcom

所以 扫描 3306和1521端口 3306 用root/drcom 1521用 drcom/drcom sid drcom

尝试登录 得到以下数据库权限

mysql

城市热点安全隐患导致内网渗透(结合前人+客户数据威胁)

oracle

**.**.**.** 1521号端口打开

**.**.**.** 1521号端口打开

**.**.**.** 1521号端口打开

**.**.**.** 1521号端口打开

**.**.**.** 1521号端口打开

**.**.**.** 1521号端口打开

**.**.**.** 1521号端口打开

**.**.**.** 1521号端口打开

**.**.**.** 1521号端口打开

**.**.**.** 1521号端口打开

用户密码SID 都为drcom

然后发现 交换机web登录密码都为 admin/drcom

然后找到二个海康的监控 admin/12345

**.**.**.**/doc/page/main.asp

**.**.**.**/doc/page/main.asp

不过貌似废弃? 监控头只有一两个

然后 没有然后了

到这渗透结束 期间发现万达的wifi认证页面 可以上传 不过php和jsp 不解析直接下载了

要不然或许还可以渗透到万达内网T_T

漏洞证明:

已证明

修复方案:

多在安全上上点心吧 我现在知道了为啥 你们客户的城市热点宽带认证系统数据库密码都是drcom

版权声明:转载请注明来源 蓝冰@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-09-15 23:44

厂商回复:

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

  1. 2014-09-11 09:47 | 疯狗 城市热点安全隐患导致内网渗透(结合前人+客户数据威胁) ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    2

    @这公司不靠谱” 。。。

  2. 2014-09-11 10:14 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

    0

    难道是结合的我的洞o(╯□╰)o

  3. 2014-09-11 14:52 | 蓝冰 ( 普通白帽子 | Rank:725 漏洞数:61 | -.-)

    0

    @Valo洛洛 先不透漏 免的被人 攻击

  4. 2014-09-11 14:52 | 蓝冰 ( 普通白帽子 | Rank:725 漏洞数:61 | -.-)

    0

    @疯狗 哈哈

  5. 2014-10-08 09:19 | wefgod ( 核心白帽子 | Rank:1829 漏洞数:183 | 力不从心)

    0

    @Valo洛洛 还真是跟你结合了

  6. 2015-11-11 16:15 | 名字xsser ( 路人 | Rank:5 漏洞数:1 | 顺流而下,把梦做完|最近小忙,有问题可以...)

    0

    要搞万达内网?

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin