恒生电子股份有限公司内网渗透(一个小问题到最终获取域管理权限)

  • 内容
  • 相关

漏洞详情

披露状态:

 

2016-04-28: 细节已通知厂商并且等待厂商处理中
2016-05-02: 厂商已经确认,细节仅向厂商公开
2016-05-12: 细节向核心白帽子及相关领域专家公开
2016-05-22: 细节向普通白帽子公开
2016-06-01: 细节向实习白帽子公开
2016-06-16: 细节向公众公开

简要描述:

本来标题是恒生电子股份OWA可暴力破解的,但是。。

详细说明:

从http://mail.hundsun.com/ 爆破出了一枚帐号

luyf:[email protected]



本来想着估摸着有VPN可以进内网什么的,但是什么都没有



于是找啊找啊,去OA窜窜门吧



https://synergy.hundsun.com/ 验证了2次,进去了,看到了一份员工手册,学学知识,如何成为一名合格的员工



https://synergy.hundsun.com/weaver/weaver.file.FileDownload?fileid=426840&coworkid=0&requestid=0&desrequestid=0



里面讲到作为一名 好的员工要多去home.hundsun.com与大家交流交流,于是我去了

在里面看呀看呀,作为一名“新员工”,一份入职培训必不可少

https://home.hundsun.com/other/guide/Hundsun_guide.pdf



里面是一条龙服务,什么姿势都有了,但是我没钱啊

7.PNG



所有姿势都有付费啊,忍了



没关系,我在外面找找后门,看看有没有不要钱的。。

嗯?二级域名看到了

https://vpn.www.hundsun.com/ It works 我也知道有个门啊

https://sslvpn.www.hundsun.com 咦出来登陆框了,卧擦怎么跳转了,还到主页了,没关系,BURP搞定

8.PNG







SonicWALL的VPN。。。XXOO,直接域验证,哈哈,可以不要钱了



2.PNG







code 区域
卧擦,直连域啊,可以直接导出域信息。。为了防止被打出来,就不干了
ping -a 192.168.60.11

Pinging hsdc01.hs.handsome.com.cn [192.168.60.11] with 32 bytes of data:
Reply from 192.168.60.11: bytes=32 time=22ms TTL=128
Reply from 192.168.60.11: bytes=32 time=22ms TTL=128
Reply from 192.168.60.11: bytes=32 time=23ms TTL=128
Reply from 192.168.60.11: bytes=32 time=22ms TTL=128





看看内部系统,装个B,赶紧跑

https://192.168.60.49/options.cgi 邮件拦截系统

10.PNG



http://192.168.61.35/Citrix/XenApp/clientDetection/downloadNative.aspx

CITRIX

9.PNG





基础知识库



12.PNG





不多列举了



本来就这么结束了,刚才看到有个命令执行,已经被人提交过了,忍不住看了一下

15.PNG



好家伙,域内,草其mimikatz就抓了

code 区域
tspkg :	
* Username : backupadmin
* Domain : HS
* Password : *********
wdigest :
* Username : backupadmin
* Domain : HS
* Password : ******



密码隐去了。。域管理员。



16.PNG





这下彻底沦陷了

漏洞证明:

 

修复方案:

补补补

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2016-05-02 01:06

厂商回复:

非常感谢您的反馈,已进行处理。

最新状态:

暂无


本文标签:

版权声明:若无特殊注明,本文皆为《安三》原创,转载请保留文章出处。『鹦鹉搜索』

百度收录:百度已收录『查看详情』

本文链接:恒生电子股份有限公司内网渗透(一个小问题到最终获取域管理权限) - https://www.15qq.cn/wooyun/822.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

允许邮件通知