中兴软创某重要站点多个漏洞打包(Getshell影响10台服务器数十个web应用涉及多个数据库账户)

  • 内容
  • 相关

漏洞详情

披露状态:

 

2016-04-26: 细节已通知厂商并且等待厂商处理中
2016-04-27: 厂商已经确认,细节仅向厂商公开
2016-05-07: 细节向核心白帽子及相关领域专家公开
2016-05-17: 细节向普通白帽子公开
2016-05-27: 细节向实习白帽子公开
2016-06-11: 细节向公众公开

简要描述:

怎么搞的呢?==!

详细说明:

 

code 区域
http://218.107.6.142:7777/



弱口令admin/123456 test/123

两个都是管理员账户,权限非常大

(证明一下ip的归属公司)

证明.png



code 区域
em1       Link encap:Ethernet  HWaddr F8:BC:12:4E:E8:34  
inet addr:10.45.47.91 Bcast:10.45.47.255 Mask:255.255.255.0
inet6 addr: fe80::fabc:12ff:fe4e:e834/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1187328693 errors:0 dropped:0 overruns:0 frame:17
TX packets:1200637718 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:323269515666 (301.0 GiB) TX bytes:345930600004 (322.1 GiB)
Interrupt:35
em2 Link encap:Ethernet HWaddr F8:BC:12:4E:E8:35
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Interrupt:38
em3 Link encap:Ethernet HWaddr F8:BC:12:4E:E8:36
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Interrupt:34
em4 Link encap:Ethernet HWaddr F8:BC:12:4E:E8:37
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Interrupt:36
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:532632463 errors:0 dropped:0 overruns:0 frame:0
TX packets:532632463 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:353491851181 (329.2 GiB) TX bytes:353491851181 (329.2 GiB)
virbr0 Link encap:Ethernet HWaddr 52:54:00:9E:7C:3E
inet addr:192.168.122.1 Bcast:192.168.122.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:24309 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:1120720 (1.0 MiB)



本机ip是10.45.47.91,本机活着的web应用就有18个

数十个web应用.png



基本上每个端口对应一个应用,weblogic,tomcat等等

端口.png



多个domain.png



应用管理界面,可远程部署war包,上传文件等操作

应用管理.png



远程管理应用,翼推微商城,好像没听说过,不过涉及到支付中心,订单什么的,影响应该不小

远程管理.png



更牛的一个功能是可以远程执行命令,可以远程shell,怎么做可以见这里,不演示

code 区域
http://www.secpulse.com/archives/2166.html



shell1.png



mysql.png



服务器管理界面,10台服务器ssh,账号密码(可以代理进入内网,直接管控服务器)

ssh.png



各个服务器上的应用,一目了然

各个服务器上的应用.png



项目配置管理界面泄露了多个数据库账号,还有好几个,只演示三个

数据库1.png



数据库2.png



数据库3.png



我能说所有用户都是弱口令吗?

弱口令.png

 

漏洞证明:

说一下getshell,多种姿势:weblogic后台弱口令,上传,java反序列化。

code 区域
http://218.107.6.142:7777/console/



weblogic后台弱口令

weblogic/weblogic123

weblogic弱口令.png



其他的也是弱口令,建议好好排查一下

code 区域
http://218.107.6.142:8008/console/



weblogic弱口令1.png



任意文件上传得到shell

上传shell1.png



上传shell.png



shell.png



code 区域
http://218.107.6.142:7777/attach/da.jsp



java反序列化

java.png



内网渗透没条件,到此结束了

修复方案:

修改密码,加强员工安全教育

反序列化可以参考网上的一些方法,或者drops中的。修复weblogic的弱口令,多个端口应该都可以登陆的,没有一个个测试

http://drops.wooyun.org/web/13470

上传如果可以的话验证一下上传内容,或者强制更改名字

版权声明:转载请注明来源 默之@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2016-04-27 09:27

厂商回复:

[email protected],该地址为我司对外的测试应用,还未正式上线使用,其中内部的服务器区域在我司的DMZ区域(及测试区域),暂不能影响我司对公应用(正式环境)。但弱口令使用的非常多,也暴露了我司测试人员对信息安全的不重视,在此,[email protected],希望能够提供更多对我司有影响的漏洞,鞭策我司。

最新状态:

暂无


本文标签:

版权声明:若无特殊注明,本文皆为《安三》原创,转载请保留文章出处。

百度收录:百度未收录『点击提交』

本文链接:中兴软创某重要站点多个漏洞打包(Getshell影响10台服务器数十个web应用涉及多个数据库账户) - https://www.15qq.cn/wooyun/872.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

允许邮件通知