当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0185768

漏洞标题:安盛天平财产邮箱弱口令导致的成功一半域渗透

相关厂商:安盛天平财产保险股份有限公司

漏洞作者: 路人甲

提交时间:2016-03-17 15:44

修复时间:2016-05-04 21:41

公开时间:2016-05-04 21:41

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-03-17: 细节已通知厂商并且等待厂商处理中
2016-03-21: 厂商已经确认,细节仅向厂商公开
2016-03-31: 细节向核心白帽子及相关领域专家公开
2016-04-10: 细节向普通白帽子公开
2016-04-20: 细节向实习白帽子公开
2016-05-04: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

为什么成功一半呢。。。no getpass tools带面纱的那种~~~~~~

详细说明:

首先是随便拿了几个用户报出了一个密码
[email protected] 123@tpaic
登陆

4.GIF


这里发现了第一个问题,对全球通讯录进行邮箱搜集后,通过暴力破解,可以破解出大量的邮箱弱口令
先上爆破图

Capture.GIF


本来到这里就结束了,但是手贱,看到共享文件夹里面有一封邮件。。。然后~~~~

3.GIF


还有个CITRIX。so,登陆了,然后点了半天个小时没点开。。真的是,是不是配置错了呀,没事,哥有法宝---说明书

6.GIF


卧擦,原来是位置不对,嗯,这次进来了

7.GIF


嗯,CITRIX防范的不严,shift+F1,调出了任务管理器,然后cmd
哈哈,可以执行命令了

Windows IP 配置
   主机名  . . . . . . . . . . . . . : wm0xap04
   主 DNS 后缀 . . . . . . . . . . . : tpaicdom.com
   节点类型  . . . . . . . . . . . . : 混合
   IP 路由已启用 . . . . . . . . . . : 否
   WINS 代理已启用 . . . . . . . . . : 否
   DNS 后缀搜索列表  . . . . . . . . : tpaicdom.com
以太网适配器 以太网:
   连接特定的 DNS 后缀 . . . . . . . :
   描述. . . . . . . . . . . . . . . : Intel(R) 82574L 千兆网络连接
   物理地址. . . . . . . . . . . . . : 00-50-56-A8-B1-E8
   DHCP 已启用 . . . . . . . . . . . : 否
   自动配置已启用. . . . . . . . . . : 是
   IPv4 地址 . . . . . . . . . . . . : 10.100.61.128(首选)
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . : 10.100.61.254
   DNS 服务器  . . . . . . . . . . . : 10.100.63.18
                                       10.100.63.28
   TCPIP 上的 NetBIOS  . . . . . . . : 已启用
隧道适配器 isatap.{9EBFCF23-C419-4152-B2C9-EF2ED4B05A72}:
   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . :
   描述. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter
   物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP 已启用 . . . . . . . . . . . : 否
   自动配置已启用. . . . . . . . . . : 是
C:\Windows\system32>
------------------------------------------------
C:\Windows\system32>net group "domain admins" /domain
这项请求将在域 tpaicdom.com 的域控制器处理。
组名     Domain Admins
注释     指定的域管理员
成员
-------------------------------------------------------------------------------
Administrator            arubamgt                 AXATP_BK
axatp_trust              citrixadmin              DomainTrust20140110
ex_lijun                 lujiacheng               mailcluster
mailsrv                  netbackup                rmsservice
ruhua.wang               runmont                  sangfor
scanuser                 sslvpn                   windows_admin
命令成功完成。
C:\ProgramData>net group "domain controllers" /domain
这项请求将在域 tpaicdom.com 的域控制器处理。
组名     Domain Controllers
注释     域中所有域控制器
成员
-------------------------------------------------------------------------------
TPAIC-CCDOMSRV$          TPAIC-CCDOMSRV2$         TPAICDOMBAK$
TPAICDOMSRV01$           TPAICDOMSRV02$           TPAIC-NMDOMSRV$
TPAIC-SALESRV$           TPAIC-WHDOMSRV1$
命令成功完成。


看到在域中,就继续看了一下,下面是最精彩的时候,管理员应该被拖出去吊打
cmd>net localgroup administrators
Admin
CtxAppVCOMAdmin
TPAICDOM\citrixadmin
TPAICDOM\Domain Admins
TPAICDOM\GWGroup
请注意 TPAICDOM\GWGroup,什么东西好像混进来了。。
查看这个组的成员,我靠。。所有的域普通用户都在这里啊

8.GIF


既然有了本机的管理员权限,等待时机(域管理上线管理CITRIX主机/本身机器中服务的域管理账号)就能搞定整个域了
于是上了mimikatz,于是乎被杀了。。卧擦。。唉,算了就到这里吧,已经很严重了

漏洞证明:


上面说明白了

修复方案:

1、加强邮箱密码吧,虽然8位有特殊字符,但是对于公司来讲也是弱口令
2、CITRIX外面设置个base验证,或者加二次验证
3、CITRIX的本地管理员组,不需要CWGROUP这个组
4、其他的,打这么多字不容易,给个20吧

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2016-03-21 15:04

厂商回复:

已经安排内部整改,谢谢您提供的建议。

最新状态:

2016-05-04:已解决。