当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0165732

漏洞标题:某发电厂MIS系统命令执行(泄露大量内部资料\员工信息\内网小渗透)

相关厂商:大唐淮北发电厂

漏洞作者: 路人甲

提交时间:2015-12-29 16:40

修复时间:2016-02-12 18:49

公开时间:2016-02-12 18:49

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-29: 细节已通知厂商并且等待厂商处理中
2016-01-05: 厂商已经确认,细节仅向厂商公开
2016-01-15: 细节向核心白帽子及相关领域专家公开
2016-01-25: 细节向普通白帽子公开
2016-02-04: 细节向实习白帽子公开
2016-02-12: 细节向公众公开

简要描述:

发电厂的mis系统
MIS(管理信息系统--Management Information System)系统,主要指的是进行日常事务操作的系统。

详细说明:

大唐淮北发电厂虎山项目MIS系统

**.**.**.**:9200/


1995年淮北电厂先进的现代MIS管理信息系统为全国之首位。有着三十多年辉煌历史的大唐淮北发电厂,是国家投资兴建国有大型企业,原隶属于安徽省电力公司,曾是安徽省最大的火力发电厂,华东地区主力发电厂之一。


存在java反序列化漏洞,getshell

shell.png


ipconfig

以太网适配器 本地连接 3:
   连接特定的 DNS 后缀 . . . . . . . : 
   本地链接 IPv6 地址. . . . . . . . : fe80::64a9:7f0a:dcff:6198%14
   IPv4 地址 . . . . . . . . . . . . : **.**.**.**
   子网掩码  . . . . . . . . . . . . : **.**.**.**
   默认网关. . . . . . . . . . . . . : **.**.**.**
以太网适配器 本地连接 2:
   连接特定的 DNS 后缀 . . . . . . . : 
   本地链接 IPv6 地址. . . . . . . . : fe80::da2:bc8a:af97:6f59%13
   IPv4 地址 . . . . . . . . . . . . : **.**.**.**
   子网掩码  . . . . . . . . . . . . : **.**.**.**
   默认网关. . . . . . . . . . . . . : **.**.**.**
隧道适配器 isatap.{35967ED9-BF47-4AA7-ABAC-8B037A9B0F0F}:
   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . : 
隧道适配器 isatap.{199A40D6-AEEB-47F8-B474-CC25E859A772}:
   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . : 
隧道适配器 Teredo Tunneling Pseudo-Interface:
   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . :


1.png


2.png


检查了下,存在好几个IIS可写

3.png


之后利用metasploit可进行内网渗透

漏洞证明:

administrator:500:aad3b435b51****************51404ee:5c35df***************b9b3312f326b1a1c:::
[*] **.**.**.**:445 - TCP OPEN
[*] **.**.**.**:445 - TCP OPEN
[*] **.**.**.**:445 - TCP OPEN
[*] **.**.**.**:445 - TCP OPEN
[*] **.**.**.**:445 - TCP OPEN
[*] **.**.**.**:445 - TCP OPEN
[*] **.**.**.**:445 - TCP OPEN
[*] **.**.**.**:445 - TCP OPEN
[*] **.**.**.**:445 - TCP OPEN
[*] **.**.**.**:445 - TCP OPEN
[*] **.**.**.**:445 - TCP OPEN
[*] **.**.**.**6:445 - TCP OPEN
[*] **.**.**.**7:445 - TCP OPEN
[*] **.**.**.**:445 - TCP OPEN
[*] **.**.**.**4:445 - TCP OPEN
[*] **.**.**.**5:445 - TCP OPEN
[*] **.**.**.**:445 - TCP OPEN
[*] **.**.**.**:445 - TCP OPEN
[*] **.**.**.**:445 - TCP OPEN
[*] Scanned  36 of 255 hosts (14% complete)


只扫描了部分段,使用已经得到的hash,进行hash传递攻击,顺利得到两台机器

smb1.png


smb2.png


应该还有用此密码的,就这样了,不做了

sessions.png


另外再送个mssql弱口令

[+] **.**.**.**:1433 - LOGIN SUCCESSFUL: WORKSTATION\sa:sa


whoami.png


temp.png


2013-06-20  09:57    <DIR>          Java
 2010-09-16  19:59    <DIR>          jboss-4.2.2.GA
 2014-06-09  08:49    <DIR>          KsPatchCache
 2013-03-04  00:35    <DIR>          Program Files
 2013-12-13  16:04    <DIR>          scan
 2013-08-01  16:07    <DIR>          shujubeifen
 2013-08-01  16:18    <DIR>          zgdadb

修复方案:

首先修复java反序列化那个漏洞
整改密码吧,不要使用简单容易猜测的密码
多个机器尽量使用不同的密码

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2016-01-05 15:24

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向能源行业信息化主管部门通报,由其后续协调网站管理单位处置.

最新状态:

暂无