当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0131743

漏洞标题:东南汽车内网域环境漫游可控制1000+主机可导致机密信息泄露,已拿下主站

相关厂商:东南汽车

漏洞作者: DC3

提交时间:2015-08-05 07:51

修复时间:2015-09-19 07:52

公开时间:2015-09-19 07:52

漏洞类型:命令执行

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-05: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-09-19: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

有些地方有必要打码

详细说明:

http://www.soueast-motor.com/主站
网站弄了半天没弄好,后来注意到请求了index.do,怀疑是jsp站
如果是jsp的话,oa或者其他的辅助系统应该也是jsp
jsp站怎么能不有tomcat或者weblogic呢?
然后在C段转一圈果然有收获

ping.jpg


oa系统用了weblogic,又是弱口令。
http://61.131.6.228:8001/console weblogic/12345678
getshell
http://61.131.6.228:8001/wls_Server/a.jsp
进去之后才发现是域环境

QQ截图20150804234421.jpg


20150804233749.jpg


QQ截图20150804234535.jpg


上神器mimikatz
得到了一个疑似域管理员的账号密码(后来证明果然是的)

QQ截图20150805013203.jpg


看了一下DNS服务器的IP是 172.16.1.127(一般都是域控)
用rms_admin成功登陆DC
进用户组看一下果然是Domain Admins

20150804235525.jpg


现在拿到了admin账户,又是域环境,可以无限漫游了
这个里面有2个DC,一个是172.16.1.127 另一个是172.16.1.120
其中的一个记录文件

QQ截图20150805000329.jpg


数据库服务器

db.jpg


在域里面找主站服务器找了半天,后来果然试出来了

QQ截图20150805005409.jpg


QQ截图20150805004916.jpg


放了一个test.txt
http://www.soueast-motor.com/test.txt

QQ截图20150805004825.jpg


很多奇怪的东西,估计有前人来过

qiguai.jpg


呼叫中心

QQ截图20150805005619.jpg


其他的服务器

epan.jpg


duanmian.jpg


kaifasq.jpg


gchftp.jpg


yanfa.jpg


lesap.jpg

漏洞证明:

semuser.jpg


services.jpg


dc的computers记录有1600+条,所以只要网络是通的,就能用之前得到的admin账户登录这些机器
检测是否是weblogic的python脚本

#coding=utf-8
import requests
import threading
def check(i):
	try:
		r = requests.get(i+'/login/LoginForm.jsp',timeout=10)
		status=r.content.count('WebLogic')
	except:
		print i,'Timeout'
		status = 0
	if  status !=0: #通过标题判断
		r = 0
		print i,'Exists!!!!!'
		f = open("u.txt", 'a')
		f.write(i+'\n')
		f.close()
		
def main():
	for i in open("url.txt").readlines():
		i=i.strip('\n')
		while threading.active_count()>100:
			pass
		t = threading.Thread(target = check,args=(i,))
		t.start()
if __name__ == '__main__':
	main()

修复方案:

不要有在内网就很安全这种思想
没有导出域控hash
没有动你们东西

版权声明:转载请注明来源 DC3@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)