当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0180081

漏洞标题:一份详尽的特步安全检测报告(涉及多个骨干系统/涉及大量内部信息/横跨多个内网网段/获取到40+数据库)

相关厂商:特步官方商城

漏洞作者: king7

提交时间:2016-03-02 12:54

修复时间:2016-03-07 13:00

公开时间:2016-03-07 13:00

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-03-02: 细节已通知厂商并且等待厂商处理中
2016-03-07: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

记者:你为什么要装B?
我:为中华崛起而装B!

详细说明:

事情还要从两个jmx-console未授权

http://cas.xtepchina.com/
http://cast.xtepchina.com

顺手部署拿了下shell,发现是不同网段,192.168.3.x以及192.168.6.x 感觉不小,查看了下域,果然不小。

2222.png

这边的思路当时是扫了下内网的C段的业务系统,在翻看盘符时又发现了大量的配置文件信息以及其他业务系统的源代码+DB文件。其实这时候权限已经很大了,配置了两个mssql数据库

<connection-url>jdbc:jtds:sqlserver://192.168.3.94:1433/txtep</connection-url>
<driver-class>net.sourceforge.jtds.jdbc.Driver</driver-class>
<user-name>sa</user-name>
<password>123456</password>
<jndi-name>casDS</jndi-name>
<connection-url>jdbc:jtds:sqlserver://192.168.3.112:1433/xtep</connection-url>
<driver-class>net.sourceforge.jtds.jdbc.Driver</driver-class>
<user-name>sa</user-name>
<password>Kmdata</password>
<min-pool-size>20</min-pool-size>
<max-pool-size>800</max-pool-size>

发现了将近40+库

db.png

dbdbdbdb.png

随即,扫描C段时,竟然发现了个st2的命令执行系统,

http://bi.xtepchina.com:8090/loginIn.action

http://lsh.xtepchina.cn/selfhelp/Attendance.aspx 考勤系统报错注入

以及考勤系统,考勤系统是我翻看微信数据库时,列数据,发现特步老大发的一条状态,以后考勤XXXXXX,
其实到这,收获已经很大了,咱们来罗列一下,
4个骨干业务系统shell权限
多个网段内网漫游权限
40+数据库操作权限
公司内部通讯录以及其他员工信息
一直在纠结是否要转发进入内网,翻江倒海一波,后来想了想,还是算了,
下面是放一些数据成果展示,嫌无聊的,可以快进~~

漏洞证明:

01.png

02.png

03.png

04.png

05.png

06.png

st1.png

http://192.168.3.21 >> >>null >>Success
http://192.168.3.27 >> >>null >>Success
http://192.168.3.29 >> >>null >>Success
http://192.168.3.25 >> >>null >>Success
http://192.168.3.23 >> >>null >>Success
http://192.168.3.7 >> >>Microsoft-IIS/7.5 >>Success
http://192.168.3.50 >> 302 Found>>Apache >>Success
http://192.168.3.110 >> Index of />>Apache/2.2.9 (APMServ) PHP/5.2.6 >>Success
http://192.168.3.46 >> >>Apache >>Success
http://192.168.3.103 >> >>Microsoft-IIS/6.0 >>Success
http://192.168.3.48 >> >>Apache >>Success
http://192.168.3.49 >> >>Apache >>Success
http://192.168.3.100 >> >>Microsoft-IIS/6.0 >>Success
http://192.168.3.13 >> >>Microsoft-IIS/6.0 >>Success
http://192.168.3.16 >> >>Microsoft-IIS/6.0 >>Success
http://192.168.3.18 >> >>Microsoft-IIS/6.0 >>Success
http://192.168.3.127 >> Index of />>Apache/2.2.22 (Unix) DAV/2 PHP/5.3.10 >>Success
http://192.168.3.61 >> >>Lotus Expeditor Web Container/6.1 >>Success
http://192.168.3.28 >> >>Apache/2.2.22 (Unix) DAV/2 >>Success
http://192.168.3.130 >> Index of />>Apache/2.2.22 (Unix) DAV/2 PHP/5.3.10 >>Success
http://192.168.3.133 >> >>Microsoft-IIS/6.0 >>Success
http://192.168.3.137 >> >>Apache/2.2.22 (Unix) DAV/2 PHP/5.3.10 >>Success
http://192.168.3.136 >> >>Apache/2.2.22 (Unix) DAV/2 >>Success
http://192.168.3.52 >> >>null >>Success
http://192.168.3.51 >> >>null >>Success
http://192.168.3.31 >> 特步官方商城_专卖特步运动鞋,特步运动服,运动配饰 - 特步官方旗舰店>>Apache/2.2.22 (Unix) DAV/2 PHP/5.3.10 >>Success
http://192.168.3.189 >> 登录-中国联通EMAS>>Apache-Coyote/1.1 >>Success
http://192.168.3.204 >> CAS – Central Authentication Service>>Apache-Coyote/1.1 >>Success
http://192.168.3.252 >> 2015订货会iPad软件安装>>Microsoft-IIS/6.0 >>Success
http://192.168.6.47 >> 女鞋事业部_视频会议>>Apache/2.0.59 (Win32) PHP/5.2.0 >>Success

55	|	李武正	|	武正哥	|	武正	|	13554955108	|		|	1	|	0	|	0	|	
54 | 甘涛 | 涛哥 | 涛 | 15980008290 | 物业总监 | 1 | 0 | 0 |
53 | 姚明兴 | 明兴哥 | 明兴 | 13960390111 | | 1 | 0 | 0 |
52 | 李寿全 | 寿全哥 | 寿全 | 15959999326 | | 1 | 0 | 0 |
51 | 邱国翔 | 国翔哥 | 国翔 | 15980080699 | | 1 | 0 | 0 |
50 | 严详皓 | 详皓哥 | 详皓 | 15559177520 | | 1 | 0 | 0 |
49 | 李广远 | 广远哥 | 广元 | 15980080089 | | 1 | 0 | 0 |
48 | 谭国康 | 国康哥 | 国康 | 13712346669 | | 1 | 0 | 0 |
47 | 王贵 | 王贵 | 贵 | 15980015222 | | 0 | 0 | 0 |
46 | 胡鸿君 | 胡鸿君 | 鸿君 | 15959999223 | 供应链成本中心 | 1 | 0 | 0 |
45 | 陈青泉 | 陈青泉 | 青泉 | 13905984142 | 商品系统 | 1 | 0 | 0 |
44 | X006084 | 朱智勇 | 智勇 | 15980008286 | 梭织管理中心 | 1 | 0 | 0 |
43 | X006087 | 黄云龙 | 云龙 | 15980080811 | 人资 | 1 | 0 | 0 |
42 | X006077 | Mark | Mark | 15980010518 | 鞋业商品管理中心 | 1 | 0 | 0 |
41 | 周斌 | 周斌哥 | 斌 | 18605000307 | 总裁助理 | 1 | 0 | 0 |
40 | 王国威 | 国威哥 | 国威 | 15960563311 | 商品系统执行总监 | 1 | 0 | 0 |
39 | 订餐管理 | 订餐管理 | 订餐管理 | 18965533515 | 订餐管理 | 0 | 0 | 0 |
38 | 伍云 | 伍云姐 | 云 | 15905917188 | 开发技术中心总监 | 1 | 0 | 0 |
37 | X004192 | 明雅姐 | 明雅 | 13600787977 | 财务副总监 | 0 | 0 | 0 |
36 | x001109 | 珍珠姐 | 珍珠 | 15905059922 | 资金管理中心 | 1 | 0 | 0 |
35 | x000370 | 莉芩姐 | 莉芩 | 15959999363 | 人资中心 | 0 | 0 | 0 |
34 | x000088 | 坤军哥 | 坤军 | 13599163261 | 信息副总监 | 0 | 0 | 0 |
33 | X003212 | 王宇哥 | 宇 | 15980080899 | 梭织管理中心 | 1 | 0 | 0 |
32 | x004312 | 祖发哥 | 祖发 | 15860315599 | 审计部总监 | 1 | 0 | 0 |
31 | 于宏伟 | 宏伟哥 | 宏伟 | 13599222589 | 供应链服饰 | 1 | 0 | 0 |
30 | Eric | Eric哥 | Eric | 13559088623 | 商品总监 | 1 | 0 | 0 |
29 | 曾伟伟 | 伟伟哥 | 伟伟 | 15980062388 | 财务总监 | 1 | 0 | 0 |
28 | 廖江华 | 江华哥 | 江华 | 15980010518 | 研发总监 | 1 | 0 | 0 |
27 | Alice | Alice姐 | Alice | 15980026188 | 研发设计总监 | 1 | 0 | 0 |
26 | 余世勇 | 世勇哥 | 世勇 | 15959869999 | 财务中心 | 1 | 0 | 0 |
25 | x000005 | 章利哥 | 章利 | 13959877777 | 总裁办 | 1 | 0 | 0 |
24 | 王诚中 | 诚中哥 | 诚中 | 15060876633 | 配件中心 | 1 | 1 | 0 |
23 | x000445 | 明月哥 | 明月 | 13808525723 | 服装系统 | 1 | 0 | 0 |
22 | X003172 | 福河哥 | 福河 | 15980080811 | 物业公司 | 1 | 0 | 0 |
21 | x002471 | 向前哥 | 向前 | 15060878811 | 迪斯尼设计 | 1 | 1 | 0 |
20 | x002398 | 玉刚哥 | 玉刚 | 15060876633 | 配件中心 | 1 | 1 | 0 |
19 | x000007 | 明忠哥 | 明忠 | 13905950679 | 配件中心 | 1 | 1 | 0 |
18 | X001801 | 罗岚哥 | 岚 | 15980008286 | 服装系统 | 1 | 1 | 0 |
17 | x000199 | 家业哥 | 家业 | 13559088630 | 服装系统 | 1 | 1 | 0 |
16 | x000488 | 高山哥 | 山 | 15859511111 | 服装系统 | 1 | 0 | 0 |
15 | x002295 | 立明哥 | 立明 | 15060818833 | 鞋业系统 | 1 | 1 | 0 |
14 | x000036 | 宝春哥 | 宝春 | 18876389933 | 鞋业系统 | 1 | 0 | 0 |
13 | x000062 | 明兴哥 | 明兴 | 13960390111 | 鞋业系统 | 1 | 0 | 0 |
12 | x000830 | 戴勇哥 | 勇 | 15880702180 | 鞋业系统 | 0 | 0 | 0 |
11 | X000002 | 美清姐 | 美清 | 13905055778 | 鞋业系统 | 0 | 1 | 0 |
10 | X000998 | 联银哥 | 联银 | 13559088601 | 信息中心 | 0 | 0 | 0 |
9 | x001399 | 建军哥 | 建军 | 15960561618 | 财务中心 | 1 | 1 | 0 |
8 | X000089 | 高发哥 | 高发 | 13559074295 | 财务中心 | 1 | 1 | 0 |
7 | x002234 | 志瑜哥 | 志瑜 | 13559088628 | 人资中心 | 1 | 1 | 0 |
6 | x000328 | 庆先哥 | 庆先 | 15959859999 | 人资中心 | 1 | 0 | 0 |
5 | X000003 | 海清哥 | 海清 | 13505959867 | 集团行政部 | 1 | 0 | 0 |
4 | X002277 | 利华哥 | 利华 | 13559088636 | 总裁办 | 1 | 0 | 0 |
3 | X000344 | 辉挺哥 | 辉挺 | 15859500000 | 总裁办 | 1 | 1 | 0 |
1 | x001221 | 系统管理员 | 系统管理员 | 15959875508 | 信息中心 | 1 | 0 | 0 |


http://bi.xtepchina.com:8090/loginIn.action
http://cas.xtepchina.com/ma3/ma3.jsp
http://cast.xtepchina.com/ma3/ma3.jsp?o=vLogin

部分shell地址 carry

修复方案:

版权声明:转载请注明来源 king7@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-03-07 13:00

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无