中海油Domino系统漏洞导致内部35844个密码信息泄漏（涉及所有分公司与部门信息/内网上百台服务器安全）

2017年4月15日07:26:45评论641 views字数 263阅读0分52秒阅读模式

摘要

2016-02-25：细节已通知厂商并且等待厂商处理中
2016-02-26：厂商已经确认，细节仅向厂商公开
2016-03-07：细节向核心白帽子及相关领域专家公开
2016-03-17：细节向普通白帽子公开
2016-03-27：细节向实习白帽子公开
2016-04-11：细节向公众公开

漏洞概要关注数(25) 关注此漏洞

缺陷编号： WooYun-2016-177033

漏洞标题：中海油Domino系统漏洞导致内部35844个密码信息泄漏（涉及所有分公司与部门信息/内网上百台服务器安全）

漏洞作者：艺术家

提交时间： 2016-02-25 13:00

公开时间： 2016-04-11 19:01

漏洞类型：后台弱口令

危害等级：高

自评Rank： 20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

3人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

Domino系统 http://**.**.**.**/names.nsf

跑弱口令：

长度为547 559的密码都是正确的，账号没有授权，无法登录。

好在有chenfang 1qaz2wsx 这个账号可以登陆。

Domino有一个账号就可以列出所有账号，同时也可以列出所有的HASH密码

用工具去跑：

跑出35844个用户信息来：

发现有hbadmin ，为地区管理账号。

拿到所有的HASH值了，就爆破一下密码。可以用john。

。

看到里面的邮件密码，是有生产网也在用的邮箱，涉及所有分公司。

根据HASH破解出密码

code 区域

fntest2/行政管理部/天津分公司/CNOOC 的用户状态
 Lotus Notes Traveler 服务器可用。
 
 CN=fntest2/OU=行政管理部/OU=天津分公司/O=CNOOC 未同步任何设备。

hbadmin

code 区域

hbadmin/大峪口公司技术发展部/化学公司/CNOOC 的用户状态
 用户标识 CN=hbadmin/OU=大峪口公司技术发展部/OU=化学公司/O=CNOOC 没有 Lotus Notes Traveler 访问权。

这里只需要查看管理组就ok了。

先找一下组

/catalog.nsf

找到可以访问管理后台的用户组：

code 区域

访问控制列表
 
   
 操作
  
  名称 
 CrDoc
 DlDoc
 创建个人代理
 创建个人文件夹/视图
 ShrFld
 LscAg
 RdPub
 WrPub
 类型 角色
 管理者: 组_安全:总公司管理员
 LocalDomainServers
 LocalDomainAdmins
 CN=BJ_TR01/OU=SERVER ... 
 1
 1
 1
 1
 0
 1
 0
 1
 1
 1
 1
 1
 1
 1
 1
 1
 1
 1
 1
 1
 1
 1
 1
 1
 1
 1
 1
 1
 1
 1
 1
 1
 Mixed Group
 Server Group
 Person Group
 Server [Files];[People&Groups];[Replication];[Configuration];[Mail];[MsgTracking];[ServerStatus];[ServerAnalysis];[ServerStatistic]
 
 [Files];[People&Groups];[Replication];[Configuration];[Mail];[MsgTracking];[ServerStatus];[ServerAnalysis];[ServerStatistic]
 设计者:  
 编辑者:  
 作者:  
 读者:  
 存放者:  
 不能访问: -Default-
 OtherDomainServers
 Anonymous 
 0
 0
 0
 0
 0
 0
 0
 0
 0
 0
 0
 0
 0
 0
 0
 0
 0
 0
 0
 0
 0
 0
 0
 0
 Unspecified
 Server Group
 Unspecified 
 
 图注:
 CrDoc = 创建文档
 DlDoc = 删除文档
 PerAg = 创建个人代理
 PerFld = 创建个人文件夹/视图
 ShrFld = 创建共享文件夹/视图
 LscAg = 创建 LotusScript/Java 代理
 RdPub = 读取公共文档
 WrPub = 编写公用文档

到 http://**.**.**.**/names.nsf中去找管理组成员

code 区域

成员: #Admin_cnooc
  #Admin_cwzcb
  #Admin_zxzx
  #Admin_yxgw
  #Admin_zjgw
  #Admin_tjgw
  #Admin_fcggw
  #Admin_yjzygw
  #Admin_gjjygl
  #Admin_Intl
  #Admin_yxhtgl
  #Admin_tjhtgl
  #Admin_zjhtgl
  #Admin_shhtgl
  #Admin_szhtgl

找到所有组信息

code 区域

类别可以按升序排序
 
 描述
 
 
    群组图标 组_应用:QHD32-6作业分公司领导    
    群组图标 组_应用:QHD32-6作业分公司生产部    
    群组图标 组_应用:QHD32-6作业分公司生产部BZ    
    群组图标 组_应用:QHD32-6作业分公司生产部QHD    
    群组图标 组_应用:QHD32-6作业分公司行政部    
    群组图标 组_应用:SBU    
    群组图标 组_应用:sk_helpdesk    
    群组图标 组_应用:安办海油分部深圳监督处    
    群组图标 组_应用:八所港公司八所港    
    群组图标 组_应用:办公厅调研室    
    群组图标 组_应用:办公厅督办信息处    
    群组图标 组_应用:办公厅副主任以上领导    
    群组图标 组_应用:办公厅岗位经理以上人员    
    群组图标 组_应用:办公厅秘书处    
    群组图标 组_应用:办公系统*安全环保部_非常规油气分公司_中国海洋石油有限公司_中国海洋石油总公司(含子部门)    
    群组图标 组_应用:办公系统*白云天然气作业公司_深圳分公司_中国海洋石油有限公司_中国海洋石油总公司(含子部门)    
    群组图标 组_应用:办公系统*白云天然气作业公司_深圳分公司_中国海洋石油有限公司_中国海洋石油总公司(直属)    
    群组图标 组_应用:办公系统*办公室_研究中心_中国海洋石油有限公司_中国海洋石油总公司(含子部门)    
    群组图标 组_应用:办公系统*办公室核稿#研究中心_中国海洋石油有限公司_中国海洋石油总公司    
    群组图标 组_应用:办公系统*办公室核稿#中国海洋石油有限公司_中国海洋石油总公司    
    群组图标 组_应用:办公系统*保险管理处_财务资产部_总公司机关_中国海洋石油总公司(含子部门)    
    群组图标 组_应用:办公系统*报告分析处_财务资产部_总公司机关_中国海洋石油总公司(含子部门)    
    群组图标 组_应用:办公系统*北部湾涠洲作业公司_湛江分公司_中国海洋石油有限公司_中国海洋石油总公司(含子部门)    
    群组图标 组_应用:办公系统*北京研究中心_中国海洋石油有限公司_中国海洋石油总公司(含子部门)    
    群组图标 组_应用:办公系统*北京研究中心_中国海洋石油有限公司_中国海洋石油总公司(含子部门)(1)    
    群组图标 组_应用:办公系统*编号#中国海洋石油有限公司_中国海洋石油总公司    
    群组图标 组_应用:办公系统*编号、清样#天津分公司_中国海洋石油有限公司_中国海洋石油总公司    
    群组图标 组_应用:办公系统*渤海公司_天津分公司_中国海洋石油有限公司_中国海洋石油总公司(含子部门)    
    群组图标 组_应用:办公系统*渤海石油研究院_天津分公司_中国海洋石油有限公司_中国海洋石油总公司(含子部门)    
    群组图标 组_应用:办公系统*渤南作业公司_天津分公司_中国海洋石油有限公司_中国海洋石油总公司(含子部门)

涉及所有分公司与部门管理组：

code 区域

组织
 
 可以按升序排序
 
 组可以按降序排序
 
 类别可以按升序排序
 
 描述
 
 
    群组图标 组_应用:办公系统*行政管理部_湛江分公司_中国海洋石油有限公司_中国海洋石油总公司(含子部门)    
    群组图标 组_应用:办公系统*行政管理部初核#天津分公司_中国海洋石油有限公司_中国海洋石油总公司    
    群组图标 组_应用:办公系统*行政管理部负责人#非常规油气分公司_中国海洋石油有限公司_中国海洋石油总公司    
    群组图标 组_应用:办公系统*行政管理部核稿#天津分公司_中国海洋石油有限公司_中国海洋石油总公司    
    群组图标 组_应用:办公系统*崖城作业公司_湛江分公司_中国海洋石油有限公司_中国海洋石油总公司(含子部门)    
    群组图标 组_应用:办公系统*研究院_上海分公司_中国海洋石油有限公司_中国海洋石油总公司(含子部门)    
    群组图标 组_应用:办公系统*研究中心_非常规油气分公司_中国海洋石油有限公司_中国海洋石油总公司(含子部门)    
    群组图标 组_应用:办公系统*研究中心_中国海洋石油有限公司_中国海洋石油总公司(含子部门)    
    群组图标 组_应用:办公系统*研究中心_中国海洋石油有限公司_中国海洋石油总公司(含子部门)(1)    
    群组图标 组_应用:办公系统*研究中心_中国海洋石油有限公司_中国海洋石油总公司(含子部门)(2)    
    群组图标 组_应用:办公系统*业务发展部_中国海洋石油国际有限公司_中国海洋石油总公司(含子部门)    
    群组图标 组_应用:办公系统*页岩气项目组_上海分公司_中国海洋石油有限公司_中国海洋石油总公司(含子部门)    
    群组图标 组_应用:办公系统*预算管理处_财务资产部_总公司机关_中国海洋石油总公司(含子部门)    
    群组图标 组_应用:办公系统*原油与天然气销售部_中国海洋石油有限公司_中国海洋石油总公司(含子部门)    
    群组图标 组_应用:办公系统*战略与规划咨询处_咨询中心_总公司机关_中国海洋石油总公司(含子部门)    
    群组图标 组_应用:办公系统*湛江分公司_中国海洋石油有限公司_中国海洋石油总公司(含子部门)    
    群组图标 组_应用:办公系统*质量健康安全环保部_上海分公司_中国海洋石油有限公司_中国海洋石油总公司(含子部门)    
    群组图标 组_应用:办公系统*质量健康安全环保部_深圳分公司_中国海洋石油有限公司_中国海洋石油总公司(含子部门)    
    群组图标 组_应用:办公系统*质量健康安全环保部_深圳分公司_中国海洋石油有限公司_中国海洋石油总公司(直属)    
    群组图标 组_应用:办公系统*质量健康安全环保部_天津分公司_中国海洋石油有限公司_中国海洋石油总公司(含子部门)    
    群组图标 组_应用:办公系统*质量健康安全环保部_湛江分公司_中国海洋石油有限公司_中国海洋石油总公司(含子部门)    
    群组图标 组_应用:办公系统*质量健康安全环保部_中国海洋石油有限公司_中国海洋石油总公司(含子部门)    
    群组图标 组_应用:办公系统*中国海洋石油国际有限公司_中国海洋石油总公司(含子部门)    
    群组图标 组_应用:办公系统*中国海洋石油国际有限公司_中国海洋石油总公司(直属)    
    群组图标 组_应用:办公系统*中国海洋石油有限公司_中国海洋石油总公司(含子部门)    
    群组图标 组_应用:办公系统*中国海洋石油有限公司_中国海洋石油总公司(含子部门)(1)    
    群组图标 组_应用:办公系统*中国海洋石油有限公司_中国海洋石油总公司(含子部门)(2)    
    群组图标 组_应用:办公系统*中国海洋石油有限公司_中国海洋石油总公司(含子部门)(3)    
    群组图标 组_应用:办公系统*中国海洋石油有限公司_中国海洋石油总公司(含子部门)(4)    
    群组图标 组_应用:办公系统*中国海洋石油有限公司_中国海洋石油总公司(含子部门)(5)

code 区域

可以按升序排序
 
 组可以按降序排序
 
 类别可以按升序排序
 
 描述
 
   群组图标 组_应用:中海油基建管理公司   
   群组图标 组_应用:中海油宁德石油储库及码头项目筹备组   
   群组图标 组_应用:中海油四川援建项目组   
   群组图标 组_应用:中海油销售天津有限公司   
   群组图标 组_应用:中海油销售天津有限公司HSE部   
   群组图标 组_应用:中海油销售天津有限公司办公室   
   群组图标 组_应用:中海油销售天津有限公司成品油销售二部   
   群组图标 组_应用:中海油销售天津有限公司成品油销售一部   
   群组图标 组_应用:中海油销售天津有限公司公司领导   
   群组图标 组_应用:中海油销售天津有限公司化学品二部   
   群组图标 组_应用:中海油销售天津有限公司化学品销售部   
   群组图标 组_应用:中海油销售天津有限公司化学品一部   
   群组图标 组_应用:中海油销售天津有限公司计划财务部   
   群组图标 组_应用:中海油销售天津有限公司开发部   
   群组图标 组_应用:中海油销售天津有限公司零售管理部   
   群组图标 组_应用:中海油销售天津有限公司人力资源部   
   群组图标 组_应用:中海油销售天津有限公司塑料二部   
   群组图标 组_应用:中海油销售天津有限公司塑料一部   
   群组图标 组_应用:中海油销售天津有限公司物流管理部   
   群组图标 组_应用:中海油销售天津有限公司销售部   
   钥匙图标 组_应用:中海油新能源公司   
   群组图标 组_应用:中海油新能源公司HSE部   
   群组图标 组_应用:中海油新能源公司财务部   
   群组图标 组_应用:中海油新能源公司风能开发部   
   群组图标 组_应用:中海油新能源公司工程建设部   
   群组图标 组_应用:中海油新能源公司公司领导   
   群组图标 组_应用:中海油新能源公司计划资金部   
   群组图标 组_应用:中海油新能源公司煤基清洁能源项目研究组   
   群组图标 组_应用:中海油新能源公司南通碧路公司   
   群组图标 组_应用:中海油新能源公司商务采办部

基本可以判定是可以通向中海油的全网域的。

全网域名字：全局域 CNOOCGlobal

通过淫荡的方法找到了所有管理员

：组：组_安全:总公司管理员

LocalDomainServers

LocalDomainAdmins

CN=BJ_TR01/OU=SERVER ...

成员：

code 区域

群组名称: 组_安全:总公司管理员 
 群组类型: 多用途 
 类别:   
 说明:  
 邮件网络域:  
 Internet 地址:  
 自动填充方法: 无 
 成员: 冯雪/信息技术中心/总公司机关/CNOOC
 汪岳/信息技术中心/总公司机关/CNOOC
  sy_int-OA-admin/国际公司机关/国际公司/CNOOC
  BJ_AS11/SERVERS/CNOOC
  dominobj3/SERVERS/CNOOC
 闫立平/北京分公司/海油发展信息科技公司/CNOOC
 徐雪莲/北京分公司/海油发展信息科技公司/CNOOC

服务器接近100台：

会影响上百台服务器安全

破出一些密码

已经找到了账号员的密码，剩下的就是跑密码了。跑完密码登陆webadmin可以执行命令拿shell,打包数据，看所有邮件了。

不深入了。

漏洞证明：

Domino系统 http://**.**.**.**/names.nsf

跑弱口令：

长度为547 559的密码都是正确的，账号没有授权，无法登录。

好在有chenfang 1qaz2wsx 这个账号可以登陆。

Domino有一个账号就可以列出所有账号，同时也可以列出所有的HASH密码

用工具去跑：

跑出35844个用户信息来：

发现有hbadmin ，为地区管理账号。

拿到所有的HASH值了，就爆破一下密码。可以用john。

。

看到里面的邮件密码，是有生产网也在用的邮箱，涉及所有分公司。

根据HASH破解出密码

code 区域

fntest2/行政管理部/天津分公司/CNOOC 的用户状态
 Lotus Notes Traveler 服务器可用。
 
 CN=fntest2/OU=行政管理部/OU=天津分公司/O=CNOOC 未同步任何设备。

hbadmin

code 区域

hbadmin/大峪口公司技术发展部/化学公司/CNOOC 的用户状态
 用户标识 CN=hbadmin/OU=大峪口公司技术发展部/OU=化学公司/O=CNOOC 没有 Lotus Notes Traveler 访问权。

这里只需要查看管理组就ok了。

先找一下组

/catalog.nsf

找到可以访问管理后台的用户组：

code 区域

hbadmin/大峪口公司技术发展部/化学公司/CNOOC 的用户状态
 用户标识 CN=hbadmin/OU=大峪口公司技术发展部/OU=化学公司/O=CNOOC 没有 Lotus Notes Traveler 访问权。

到 http://**.**.**.**/names.nsf中去找管理组成员

code 区域

hbadmin/大峪口公司技术发展部/化学公司/CNOOC 的用户状态
 用户标识 CN=hbadmin/OU=大峪口公司技术发展部/OU=化学公司/O=CNOOC 没有 Lotus Notes Traveler 访问权。

找到所有组信息

code 区域

hbadmin/大峪口公司技术发展部/化学公司/CNOOC 的用户状态
 用户标识 CN=hbadmin/OU=大峪口公司技术发展部/OU=化学公司/O=CNOOC 没有 Lotus Notes Traveler 访问权。

涉及所有分公司与部门管理组：

code 区域

hbadmin/大峪口公司技术发展部/化学公司/CNOOC 的用户状态
 用户标识 CN=hbadmin/OU=大峪口公司技术发展部/OU=化学公司/O=CNOOC 没有 Lotus Notes Traveler 访问权。

code 区域

hbadmin/大峪口公司技术发展部/化学公司/CNOOC 的用户状态
 用户标识 CN=hbadmin/OU=大峪口公司技术发展部/OU=化学公司/O=CNOOC 没有 Lotus Notes Traveler 访问权。

基本可以判定是可以通向中海油的全网域的。

全网域名字：全局域 CNOOCGlobal

通过淫荡的方法找到了所有管理员

：组：组_安全:总公司管理员

LocalDomainServers

LocalDomainAdmins

CN=BJ_TR01/OU=SERVER ...

成员：

code 区域

hbadmin/大峪口公司技术发展部/化学公司/CNOOC 的用户状态
 用户标识 CN=hbadmin/OU=大峪口公司技术发展部/OU=化学公司/O=CNOOC 没有 Lotus Notes Traveler 访问权。

服务器接近100台：

会影响上百台服务器安全

破出一些密码

已经找到了账号员的密码，剩下的就是跑密码了。跑完密码登陆webadmin可以执行命令拿shell,打包数据，看所有邮件了。

cnooc 域下的，内网所有业务平台

不深入了。

修复方案：

版权声明：转载请注明来源艺术家@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：11

确认时间：2016-02-26 19:01

厂商回复：

CNVD确认并复现所述情况,已经转由CNCERT向能源行业信息化主管部门通报,由其后续协调网站管理单位处置.

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-02-24 17:57 | plane636 ( 普通白帽子 | Rank:160 漏洞数:16 )

1

跑用户用的是啥工具啊

1# 回复此人
2016-02-25 10:11 | ba1ma0 ( 路人 | Rank:14 漏洞数:5 | 什么都不会..)

1

跑用户用的是啥工具啊

2# 回复此人
2016-02-25 13:26 | j14n ( 普通白帽子 | Rank:2226 漏洞数:398 )

1

这个不是公开了吗？

3# 回复此人
2016-02-25 13:26 | fangzhu ( 实习白帽子 | Rank:33 漏洞数:5 | 我认识狂少我怕谁，狂少QQ：1015394140)

1

应该是自己写的吧！

4# 回复此人

漏洞概要 关注数(25) 关注此漏洞

缺陷编号： WooYun-2016-177033

漏洞标题： 中海油Domino系统漏洞导致内部35844个密码信息泄漏（涉及所有分公司与部门信息/内网上百台服务器安全）

相关厂商： 中国海洋石油总公司

漏洞作者： 艺术家

提交时间： 2016-02-25 13:00

公开时间： 2016-04-11 19:01

漏洞类型： 后台弱口令

危害等级： 高

自评Rank： 20

漏洞状态： 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 无

3人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 艺术家@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(25) 关注此漏洞

漏洞标题：中海油Domino系统漏洞导致内部35844个密码信息泄漏（涉及所有分公司与部门信息/内网上百台服务器安全）

相关厂商：中国海洋石油总公司

漏洞作者：艺术家

漏洞类型：后台弱口令

危害等级：高

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签：无

版权声明：转载请注明来源艺术家@乌云

漏洞评价(共0人评价):

登陆后才能进行评分