一份详尽的特步安全检测报告（涉及多个骨干系统/涉及大量内部信息/横跨多个内网网段/获取到40+数据库）

admin

139293
文章

114
评论

2017年4月28日00:36:42评论281 views字数 246阅读0分49秒阅读模式

摘要

2016-03-07：细节已通知厂商并且等待厂商处理中
2016-03-07：厂商已查看当前漏洞内容,细节仅向厂商公开
2016-03-12：厂商已经主动忽略漏洞，细节向公众公开

漏洞概要关注数(83) 关注此漏洞

缺陷编号： WooYun-2016-180081

漏洞标题：一份详尽的特步安全检测报告（涉及多个骨干系统/涉及大量内部信息/横跨多个内网网段/获取到40+数据库）

漏洞作者： king7

提交时间： 2016-03-07 16:30

公开时间： 2016-03-12 16:40

漏洞类型：命令执行

危害等级：高

自评Rank： 20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

17人收藏

漏洞详情

披露状态：

简要描述：

记者:你为什么要装B?

我:为中华崛起而装B!

详细说明：

事情还要从两个jmx-console未授权

mask 区域

*****//cas.xte*****
 1.http://**.**.**/code>

顺手部署拿了下shell，发现是不同网段，192.168.3.x以及192.168.6.x 感觉不小，查看了下域，果然不小。

这边的思路当时是扫了下内网的C段的业务系统，在翻看盘符时又发现了大量的配置文件信息以及其他业务系统的源代码+DB文件。其实这时候权限已经很大了，配置了两个mssql数据库

code 区域

<connection-url>jdbc:jtds:sqlserver://192.168.3.94:1433/txtep</connection-url>
     <driver-class>net.sourceforge.jtds.jdbc.Driver</driver-class>
     <user-name>sa</user-name>
     <password>123456</password>
 
 
     <jndi-name>casDS</jndi-name>
     <connection-url>jdbc:jtds:sqlserver://192.168.3.112:1433/xtep</connection-url>
     <driver-class>net.sourceforge.jtds.jdbc.Driver</driver-class>
     <user-name>sa</user-name>
     <password>Kmdata</password>
     <min-pool-size>20</min-pool-size>
     <max-pool-size>800</max-pool-size>

发现了将近40+库

随即，扫描C段时，竟然发现了个st2的命令执行系统，

mask 区域

*****090/loginIn.action&*****
 1.http://**.**.**/selfhelp/Attendance.aspx 考勤系统报错注入</code>

以及考勤系统，考勤系统是我翻看微信数据库时，列数据，发现特步老大发的一条状态，以后考勤XXXXXX，

其实到这，收获已经很大了，咱们来罗列一下，

4个骨干业务系统shell权限

多个网段内网漫游权限

40+数据库操作权限

公司内部通讯录以及其他员工信息

一直在纠结是否要转发进入内网，翻江倒海一波，后来想了想，还是算了，

下面是放一些数据成果展示，嫌无聊的，可以快进~~

漏洞证明：

code 区域

http://192.168.3.21 >> >>null >>Success
 http://192.168.3.27 >> >>null >>Success
 http://192.168.3.29 >> >>null >>Success
 http://192.168.3.25 >> >>null >>Success
 http://192.168.3.23 >> >>null >>Success
 http://192.168.3.7 >> >>Microsoft-IIS/7.5 >>Success
 http://192.168.3.50 >> 302 Found>>Apache >>Success
 http://192.168.3.110 >> Index of />>Apache/2.2.9 (APMServ) PHP/5.2.6 >>Success
 http://192.168.3.46 >> >>Apache >>Success
 http://192.168.3.103 >> >>Microsoft-IIS/6.0 >>Success
 http://192.168.3.48 >> >>Apache >>Success
 http://192.168.3.49 >> >>Apache >>Success
 http://192.168.3.100 >> >>Microsoft-IIS/6.0 >>Success
 http://192.168.3.13 >> >>Microsoft-IIS/6.0 >>Success
 http://192.168.3.16 >> >>Microsoft-IIS/6.0 >>Success
 http://192.168.3.18 >> >>Microsoft-IIS/6.0 >>Success
 http://192.168.3.127 >> Index of />>Apache/2.2.22 (Unix) DAV/2 PHP/5.3.10 >>Success
 http://192.168.3.61 >> >>Lotus Expeditor Web Container/6.1 >>Success
 http://192.168.3.28 >> >>Apache/2.2.22 (Unix) DAV/2 >>Success
 http://192.168.3.130 >> Index of />>Apache/2.2.22 (Unix) DAV/2 PHP/5.3.10 >>Success
 http://192.168.3.133 >> >>Microsoft-IIS/6.0 >>Success
 http://192.168.3.137 >> >>Apache/2.2.22 (Unix) DAV/2 PHP/5.3.10 >>Success
 http://192.168.3.136 >> >>Apache/2.2.22 (Unix) DAV/2 >>Success
 http://192.168.3.52 >> >>null >>Success
 http://192.168.3.51 >> >>null >>Success
 http://192.168.3.31 >> 特步官方商城_专卖特步运动鞋,特步运动服,运动配饰 - 特步官方旗舰店>>Apache/2.2.22 (Unix) DAV/2 PHP/5.3.10 >>Success
 http://192.168.3.189 >> 登录-中国联通EMAS>>Apache-Coyote/1.1 >>Success
 http://192.168.3.204 >> CAS – Central Authentication Service>>Apache-Coyote/1.1 >>Success
 http://192.168.3.252 >> 2015订货会iPad软件安装>>Microsoft-IIS/6.0 >>Success
 http://192.168.6.47 >> 女鞋事业部_视频会议>>Apache/2.0.59 (Win32) PHP/5.2.0 >>Success

mask 区域

***** | 武正 | 135549*****
 *****0008290 | 物业*****
 *****兴 | 139603901*****
 *****全 | 159599993*****
 *****翔 | 159800806*****
 *****皓 | 155591775*****
 *****元 | 159800800*****
 *****康 | 137123466*****
 *****| 15980015222 *****
 *****59999223 | 供应链*****
 ***** 13905984142  | 商*****
 *****80008286 | 梭织管*****
 ***** | 15980080811 | *****
 *****8 | 鞋业商品管*****
 *****05000307 | 总裁*****
 *****563311 | 商品系统*****
 *****理 | 18965533515 | *****
 *****7188 | 开发技术*****
 *****3600787977 | 财务*****
 *****05059922 | 资金管*****
 ***** 15959999363 | 人*****
 *****3599163261 | 信息*****
 *****0080899 | 梭织管*****
 *****5860315599 | 审计*****
 *****3599222589 | 供应*****
 *****9088623 | 商品*****
 ***** 15980062388 | 财*****
 ***** 15980010518 | 研*****
 *****026188 | 研发设*****
 ***** 15959869999 | 财*****
 ***** 13959877777 | 总*****
 ***** 15060876633 | 配*****
 ***** 13808525723 | 服*****
 ***** 15980080811 | 物*****
 *****5060878811 | 迪斯*****
 ***** 15060876633 | 配*****
 ***** 13905950679 | 配*****
 *****980008286 | 服装*****
 ***** 13559088630 | 服*****
 *****859511111 | 服装*****
 ***** 15060818833 | 鞋*****
 ***** 18876389933 | 鞋*****
 ***** 13960390111 | 鞋*****
 *****880702180 | 鞋业*****
 ***** 13905055778 | 鞋*****
 ***** 13559088601 | 信*****
 *****15960561618 | 财*****
 *****13559074295 | 财*****
 *****13559088628 | 人*****
 *****15959859999 | 人*****
 *****505959867 | 集团*****
 *****13559088636 | 总*****
 *****15859500000 | 总*****
 *****员 | 15959875508 | *****
 *****cod*****

mask 区域

*****pchina.com:80*****
 1.http://**.**.**/ma3/ma3.jsp_
 2.http://**.**.**/ma3/ma3.jspo=vLogin</code>部分shell地址 carry

修复方案：

版权声明：转载请注明来源 king7@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2016-03-12 16:40

厂商回复：

漏洞Rank：15 (WooYun评价)

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-03-02 13:09 | _Thorns ( 普通白帽子 | Rank:1754 漏洞数:269 | 以大多数人的努力程度之低，根本轮不到去拼...)

4

特步飞一般的感觉。

1# 回复此人
2016-03-02 18:16 | 路人毛 ( 普通白帽子 | Rank:157 漏洞数:64 | 要想Rank给高，标题一定得屌)

1

洞主，飞一般的感觉

2# 回复此人
2016-03-05 01:37 | 恶人毛 ( 实习白帽子 | Rank:45 漏洞数:6 | 深挖洞，广积粮。)

1

看了简要描述，，情不自禁的顶你下。。。

3# 回复此人
2016-03-07 13:34 | 老实先生 ( 普通白帽子 | Rank:228 漏洞数:75 | 专业承揽工程刮大白，外墙涂料，外墙保温，...)

1

请问一下，厂商为什么要忽略？？危害等级：无影响厂商忽略确认有什么说法吗？

4# 回复此人
2016-03-07 13:54 | 无敌情痴 ( 普通白帽子 | Rank:203 漏洞数:61 | 没有站在安全界顶点的能力，但是也要不断的...)

1

醉了。。。。。。。。这都忽略

5# 回复此人
2016-03-07 13:57 | sword2 ( 实习白帽子 | Rank:35 漏洞数:7 | 姿势很重要。)

1

可怕，厂商忽略了。随手试了个str2居然没补。特步果然是飞一般的感觉

6# 回复此人
2016-03-07 14:11 | BeenQuiver ( 普通白帽子 | Rank:103 漏洞数:27 | 专注而高效，坚持好的习惯千万不要放弃)

1

丫的你都没点商业思维啊，这些数据能都看到很多东西的

7# 回复此人
2016-03-07 14:32 | 西西 ( 普通白帽子 | Rank:1074 漏洞数:281 | 工欲善其事，必先利其器。)

1

厂商有点飘了

8# 回复此人
2016-03-07 16:32 | king7 ( 普通白帽子 | Rank:1887 漏洞数:253 | 早知如此绊人心，何如当初莫相识。)

2

你们是要玩死我啊~~

9# 回复此人
2016-03-07 16:35 | 西西 ( 普通白帽子 | Rank:1074 漏洞数:281 | 工欲善其事，必先利其器。)

1

@king7 大神为什么1000+rank还是普通

10# 回复此人
2016-03-07 16:36 | j14n ( 普通白帽子 | Rank:2225 漏洞数:397 )

1

这个今天不是已经公开了吗。。。

11# 回复此人
2016-03-07 16:37 | king7 ( 普通白帽子 | Rank:1887 漏洞数:253 | 早知如此绊人心，何如当初莫相识。)

1

@西西你问的让我好羞愧~~

12# 回复此人
2016-03-07 16:40 | luwikes ( 普通白帽子 | Rank:552 漏洞数:83 | 潜心学习~~~)

1

我靠，这数据．．．简直了！！太逆天

13# 回复此人
2016-03-07 16:40 | 西西 ( 普通白帽子 | Rank:1074 漏洞数:281 | 工欲善其事，必先利其器。)

1

@king7 没那意思呀。我就是想了解下wooyun的等级机制

14# 回复此人
2016-03-07 16:41 | king7 ( 普通白帽子 | Rank:1887 漏洞数:253 | 早知如此绊人心，何如当初莫相识。)

1

@西西 zone有详解的，我差个雷

15# 回复此人
2016-03-07 16:48 | 西西 ( 普通白帽子 | Rank:1074 漏洞数:281 | 工欲善其事，必先利其器。)

1

@king7 搜嘎多谢！预祝兄弟早日打雷+$$$

16# 回复此人
2016-03-07 17:06 | 方大核桃 ( 普通白帽子 | Rank:191 漏洞数:59 | 要怎么长大,才能赢过时间啊)

1

现在是什么状态?厂商收回了?

17# 回复此人
2016-03-07 17:12 | _Thorns ( 普通白帽子 | Rank:1754 漏洞数:269 | 以大多数人的努力程度之低，根本轮不到去拼...)

2

这个是什么意思？宝宝都看完了。

18# 回复此人
2016-03-07 17:18 | 木易 ( 普通白帽子 | Rank:347 漏洞数:70 | 不，，不要误会，我不是针对谁，我是说在座...)

1

围观

19# 回复此人
2016-03-12 22:00 | Mark0smith ( 普通白帽子 | Rank:176 漏洞数:71 )

1

卧槽

20# 回复此人

漏洞概要 关注数(83) 关注此漏洞

缺陷编号： WooYun-2016-180081

漏洞标题： 一份详尽的特步安全检测报告（涉及多个骨干系统/涉及大量内部信息/横跨多个内网网段/获取到40+数据库）

相关厂商： 特步官方商城

漏洞作者： king7

提交时间： 2016-03-07 16:30

公开时间： 2016-03-12 16:40

漏洞类型： 命令执行

危害等级： 高

自评Rank： 20

漏洞状态： 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 无

17人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 king7@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(83) 关注此漏洞

漏洞标题：一份详尽的特步安全检测报告（涉及多个骨干系统/涉及大量内部信息/横跨多个内网网段/获取到40+数据库）

相关厂商：特步官方商城

漏洞类型：命令执行

危害等级：高

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签：无

漏洞评价(共0人评价):

登陆后才能进行评分