WooYun.org

1.前话：
在一次其他厂商的安全检测中，通过C段扫描意外发现这枚IP：219.143.245.149
使用的weblogic中间件，默认端口

http://219.143.245.149:7001/console/

访问 http://219.143.245.149:7001/vm 接口参数测试

访问 http://219.143.245.149:7001/webtrade 当然是403 因为后面shell进去后发现这是一枚API接口调用程序
2. shell：
以常规方式上传.war文件进行部署，并没有成功，出现了无权限的错误信息...以为是没存在upload上传目录，果断修改部署路径 再次上传依旧发现权限错误
看来得启用非常规手段了，查看其VM程序的部署路径为： 看下图

程序保存在这个目录...也就是说我只要上传一枚.jsp文件即可 看下图

依旧利用部署程序的那个上传点..上传文件即可
顺利获取shell：
http://219.143.245.149:7001/vm/jmxroot.jsp 密码：360butian
（题外话...长期补天混习惯了，密码都懒得修改了）
截图看权限

3. 还得确定厂商才行...
开始了一段漫长的时间查找...过程中发现了很多敏感数据信息..什么支付接口..交易日志文件==
直到发现了这...

但光是一个文件夹名字并不能确定...于是查询其官方站点 IP 没在一个网段...或许启用了啥CDN吧...
无果...继续翻查文件 没任何确切信息能够证明是该厂商...
使出奇招...访问同网段的相近IP...工银瑞信VPN 再结合之前的文件夹名称
已挖了这么多金融系统漏洞经验确定为该厂商...不信去问厂商...
https://219.143.245.152/

4. 确定厂商后...查找相关数据库信息的文件
此处通过shell分析了大量文件..发现其中一些连接是废弃的 甚至测试系统的都不是
暂时搁置...准备提权服务器
5. 提权服务器
由于之前看到的是administrator权限 顺利添加账号 进入服务器
先看看有什么文件信息
5.1 一大波日志文件...下载了一份看看，服务器太慢 是从oracle中导出的部分数据吧
个人详细信息泄露...基金账号..地址..证件..电话==
还请记得打上马赛克
数据表格式...从命名就能看出字段意思了

一些交易请求 确认信息...恒生客服系统来的数据
HS：恒生电子
fundinfo:基金信息...其中基金代码..名称之类的
AccoRequest： 交易请求类信息
Confirm..：确认详细信息..订单编号 时间之类的
不要问我为什么...因为本屌丝英语差不多4级以上 从其他金融系统学来的经验

5.2
从管理员桌面文件入手...
发现一枚数据库信息 事后证明 只是一份测试库 并无实际敏感数据
还是截图证明下吧

DRIVER=oracle.jdbc.driver.OracleDriver
URL=jdbc\:oracle\:thin\:@192.168.4.52\:1521\:tadb
USER=kdta_ta
PWD=1
SPLIT_METHOD=3
SPLIT_COUNT=1
CREATE_OK_FILE=true

5.3 尝试进入管理员账户
query user 看了下管理员的时间...好几天没登陆系统了
大白天的可以放心上去瞧瞧
天公不作美...趋势杀毒网络版 有密码...mimikatz没法用了 可爱的阿D扫描工具也没法用...同时也验证了之前部署war文件权限错误问题，原来是被杀了
上一个其他扫描工具IISputscan吧
既然外网都能有weblogic弱口令...内网估计好不到哪去
5.3.1 IP：4.88一枚
通过web访问...发现又是一枚银行接口的测试系统
此服务器已GG

5.3.2 IP：4.103
又是一枚和外网系统一样的银行测试的系统
此服务器已GG

5.3.3 IP：4.101 同上所述
特意查看了集群设置...并没有发现相关集群服务

5.3.4 IP 4.125 同上，不过这台貌似看到了etrade 交易系统
有交易系统的自然不能放过...肯定是会有数据库服务的
bingo
今天诸事不顺...碰到了趋势这个鬼，被杀的片甲不留

数据库信息：
从命名来看...测试库？ 依旧不能放过任何信息 进去看看有没有测试数据

-<jdbc-driver-params>
<url>jdbc:oracle:thin:@172.21.102.21:1521:testdb</url>
<driver-name>oracle.jdbc.OracleDriver</driver-name>
-<properties>
-<property>
<name>user</name>
<value>dstest1</value>
</property>
</properties>
<password-encrypted>{3DES}32FBcf1rFto=</password-encrypted>
</jdbc-driver-params>
<url>jdbc:oracle:thin:@172.21.102.21:1521:testdb</url>
<driver-name>oracle.jdbc.OracleDriver</driver-name>
-<properties>
-<property>
<name>user</name>
<value>dctest1</value>
</property>
</properties>
<password-encrypted>{3DES}FBc3UFp7EGY=</password-encrypted>
</jdbc-driver-params>
-<properties>
-<property>
<name>user</name>
<value>etradetest1</value>
</property>
</properties>
<password-encrypted>{3DES}3wrHRhHEjt3XUb9Gp4ICBQ==</password-encrypted>
</jdbc-driver-params>

由于杀软原因没能进入到此服务器，只传了一枚文件管理的shell
从提权的服务器ping 数据库IP 正常 那就在本机上编辑oracle侦听文件进行连接吧
从测试数据库中侧漏了2.1W枚个人信息

5.3.5 IP：4.72:7002端口

总结：
1. 运气不行...有强劲杀软
2. 所到之处尽是测试系统
3. 本次侧漏数据为2.1W条+OFD库导出的文件(具体多少没输过)
危害总结：
1. 服务器不应随意存放相关日志文件及其他敏感信息文件
2. 尽管是测试系统，也应当做正式系统来对待，不然就算是测试数据文件分分钟都可以干掉所有文件
3. 从网络安全方面讲，接入层网络安全配置不够严格，可进行网关欺骗来进行嗅探内网数据包
4. 严格控制对外业务的端口开放，不能把大门开着...又不是北京欢迎您...
5. 从测试数据库来看，账号权限设置不到位，可跨账号查询数据
检测到此为止...无修改/删除/窃取 任何信息文件 以上截图只为证明漏洞存在使用