远景能源某漏洞可导致内网漫游（SCADA案例/控制核心代码/全球数十处风厂）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0154693

漏洞标题：远景能源某漏洞可导致内网漫游（SCADA案例/控制核心代码/全球数十处风厂）

漏洞作者： 0x0d

提交时间：2015-11-21 02:08

修复时间：2016-01-11 15:32

公开时间：2016-01-11 15:32

漏洞类型：成功的入侵事件

危害等级：低

自评Rank：1

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-11-21：细节已通知厂商并且等待厂商处理中
2015-11-25：厂商已经确认，细节仅向厂商公开
2015-12-05：细节向核心白帽子及相关领域专家公开
2015-12-15：细节向普通白帽子公开
2015-12-25：细节向实习白帽子公开
2016-01-11：细节向公众公开

简要描述：

在群里看到远景hr说实习生工资一天600，赶紧跑去围观了下。

详细说明：

先是个官网的未授权访问，没什么用：

跑子域名的时候照例去github查了下，找到了几个测试账户：

software.testlink@**.**.**.**
GreenwichDev@**.**.**.**
software.qms@**.**.**.**

发现 autodiscover.**.**.**.** 是远景用的outlook地址。
但是登录进去后发现没有什么有价值的邮件，不过得到了通讯录：

按理说下一步应该是导出通讯录进行爆破，但比较坑的是Mac版的outlook没有导出功能。。
接着检查子域名的时候发现了一个废弃的系统：

“查找是否第一次登录”这里列出了所有的用户名：

于是写了个脚本：

# wget -O data.txt '**.**.**.**:9000/lks/sys/lks_public.nsf/055cdff8729d3e1148257765001f222f?OpenView&Start=1&Count=1000'
# cat filter.py
import re, sys
file = open('data.txt', 'r').read()
users = re.findall('<\/a>([a-z\.]+)<\/td>', file)
for user in users:
    print user
#python filter.py > users.txt

然后找到OA系统，泛微的，但是试了乌云上已有的几个POC没成功，干脆直接爆破了：