当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0115934

漏洞标题:长江三峡水电站可被内网漫游(穿越防火墙)

相关厂商:cncert国家互联网应急中心

漏洞作者: GrayTrack

提交时间:2015-05-24 21:43

修复时间:2015-07-12 22:54

公开时间:2015-07-12 22:54

漏洞类型:基础设施弱口令

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-24: 细节已通知厂商并且等待厂商处理中
2015-05-28: 厂商已经确认,细节仅向厂商公开
2015-06-07: 细节向核心白帽子及相关领域专家公开
2015-06-17: 细节向普通白帽子公开
2015-06-27: 细节向实习白帽子公开
2015-07-12: 细节向公众公开

简要描述:

巴东三峡巫峡长,猿鸣三声泪沾裳
对三峡水利有一种莫名的好感以及基于对基础设施的安全检测,于是有了此文。
Ps:三峡画面很美,以后一定要去看看。

详细说明:

0x01 官网后台沦陷
www.ctgpc.com.cn
官网没发现什么明显漏洞,逛了逛首页和其他链接,
随手加上一个admin
http://www.ctgpc.com.cn/sbgs_new/admin/index.php 后台地址泄露。
再随手加上一个admin,admin,居然进来了,醉醉的感觉。三峡官网居然如此脆弱?

1.png


进来后台,有上传点,但是上传已经被破坏掉了,想利用注入点写shell看看,有waf拦截,sqlmap跑不起,后台拿shell基本没戏。于是切换思路。
0x02 邮件破解
发现外网邮件登录入口,http://email.ctgpc.com.cn/

2.png


结合漏洞http://wooyun.org/bugs/wooyun-2010-092781 ,该漏洞居然还没修复。

3.png


从该邮箱的联系人列表里面得到一份大量的三峡员工用户名,

4.png


组成用户名字典,爆破邮箱。

5.png


这里稍微贴上几个success的列表,

6.png


翻邮件,找到一个信息中心的人员账号,接下来的画面很黄很暴力,自带手纸。

7.png


8.png


9.png


10.png


11.png


江山如此多娇,拿到这么多账号密码,全部在内网,由于防火墙限制,没有跳板机,在这里我纠结了。现在的想法是需要得到一个vpn账号来进行登录。
找到三峡的vpn入口https://sa.ctgpc.com.cn/

12.png


本想使用破解得到的邮箱密码来进行登录的,可是邮箱密码和vpn密码是不同的,就连用户名格式都不知道,是使用姓名简写登录呢还是使用邮箱格式登录呢?
这里我从破解到的邮箱中找到了一个员工的qq号码,一番社工询问后,得到三峡vpn登录入口的用户名格式为zhang_san,就是姓氏+下划线+名字的拼音,默认密码为身份证尾号后六位。社工截图就不贴了。用这个表情代替吧。

13.gif


得到vpn的基本信息后,打算再次进行暴力破解,但是vpn登录入口在暴力破解几百次之后,ip被封了。一时间陷入僵局,没有自动切换ip进行暴力破解的工具。

漏洞证明:

0x03 内网入口突破,漫游内网
无赖之下,伪装成信息中心的人员,发送如下钓鱼邮件。

14.png


15.png


破开内网大门!
首先来一张内网门户合集。一堆的应用系统。

16.png


17.png


然后呢,单点登录,使用破解到的一个信息中心的员工,单点登录,确实方便了许多,
档案管理系统,这画面好美的说,

18.png


19.png


档案馆内存有三峡工程的许多技术文档和工程文档,这里涉及国家机密,没敢乱动。

20.png


自助报销

21.png


内网网段:192.168.16.16 ~192.168.16.255
主机http://192.168.16.16/PhpMyAdmin/ 空口令连接,我也是醉了

22.png


文件http://192.168.16.16/inc%5Cveri_priv.inc.php 报错爆出物理路径,
d:\usr\www\html\inc\veri_priv.inc.php

23.png


Mysql写一句话不必多说 http://192.168.16.16/piaochuang/images/3.php 测试shell,请自行删除。

24.png


该服务器数据库有一个账号密码,请自行检测是否正常。
<T>MYSQL</T>
<H>localhost</H>
<U>whoami</U>
<P>uptoyou</P>

25.png


管理员密码黄子安,看到这里,我不禁想到域名信息,hello您好。

26.png


192.168.16.16 系统权限运行,可dump下管理员密码。点到为止。

27.png


内网路由器
http://10.66.10.151/userRpm/Index.htm admin admin

28.png


电力生产信息

29.png


30.png


OA系统

31.png


还有好多系统就不一一列举啦。
这里得到一份网络说明

32.png


33.png


还能利用跳板机进行内网跨域渗透,监听和嗅探密码,以及其他探测,相信双网隔离的渗透也只是时间问题,仅作测试,所以不再进一步深入啦。
0x04 解决方案
1、邮件系统登录入口设置验证码和其他防暴力破解机制
2、修改官网后台登陆入口和管理员密码。
3、自查外网邮件弱口令,所有用户口令强制修改为复杂口令
4、Vpn登录密码强制使用复杂口令。后来我用工具爆破出来了几个弱口令。
5、 内网渗透测试

修复方案:

审核的时候给个闪电如何?@疯狗@肉肉

版权声明:转载请注明来源 GrayTrack@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-05-28 17:16

厂商回复:

CNVD确认所述情况,已经转由CNCERT向能源行业信息化主管部门通报,由其后续协调网站管理单位处置.

最新状态:

暂无