当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0189825

漏洞标题:英德教育局存在高危漏洞导致连带效应(清远教育局等多个政务网络受影响)

相关厂商:英德教育局,清远教育局

漏洞作者: T0n9

提交时间:2016-03-28 14:00

修复时间:2016-05-16 14:50

公开时间:2016-05-16 14:50

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-03-28: 细节已通知厂商并且等待厂商处理中
2016-04-01: 厂商已经确认,细节仅向厂商公开
2016-04-11: 细节向核心白帽子及相关领域专家公开
2016-04-21: 细节向普通白帽子公开
2016-05-01: 细节向实习白帽子公开
2016-05-16: 细节向公众公开

简要描述:

典型的蝴蝶效应…
一个小小的密码泄露到教育局内网和控制各各学校的摄像头,泄露大量内网信息
26号晚上十一点左右开始的由于时间问题并没有深入点到为止。

详细说明:

影响
清远市的没有统计,英德市基本的32个镇80多个学校网站和教育局内网可控制教育局内网摄像头和打印机等…
英德教育局所在的内网很大都多个办公和政府网段。
英德教育局主站地址:**.**.**.**
前期踩点和收集信息获取到了admin的密码

admin
zhu2822250


成功进入后台

1.png


通过添加自定义页面成功拿到shell

2.png


3.png


4.png


由于是2008r2的服务而且只有一个补丁很顺利的就拿到了服务器最高权限

5.png


添加了账号
test
zxc1230.0

6.png


由于主机在内网 于是自己开启了3389 再用lcx将3389端口转发出来了 然后直接进内网

7.png


内网信息

8.png


整个地区的学校都在这台服务器上 威胁可想而知
下面是服务器上大概的学校名称

2014/12/16  09:04    <DIR>          .
2014/12/16  09:04    <DIR>          ..
2014/10/07  12:27    <DIR>          下太学校
2014/10/07  12:27    <DIR>          东华中小
2014/10/07  12:27    <DIR>          九龙中学
2014/10/07  12:27    <DIR>          九龙中小
2014/10/07  12:27    <DIR>          九龙二中
2014/10/07  12:27    <DIR>          云岭中学
2014/10/07  12:27    <DIR>          北江学校
2014/10/07  12:27    <DIR>          华粤中英文学校
2014/10/07  12:27    <DIR>          华粤培训中心
2014/10/07  12:27    <DIR>          华粤复读学校
2014/10/07  12:27    <DIR>          华粤实验小学
2014/10/07  12:27    <DIR>          华粤艺术幼儿园
2014/10/07  12:27    <DIR>          华粤艺校
2014/10/07  12:27    <DIR>          华粤集团网站
2014/10/07  12:27    <DIR>          南华学校
2014/10/07  12:27    <DIR>          印山中学
2014/10/07  12:27    <DIR>          含光中学
2014/10/07  12:27    <DIR>          含光中小
2014/10/07  12:28    <DIR>          含光二小
2014/10/07  12:28    <DIR>          城北小学
2014/10/07  12:28    <DIR>          大洞学校
2014/10/07  12:28    <DIR>          大湾中学
2014/10/07  12:28    <DIR>          大湾中小
2014/10/07  12:28    <DIR>          大镇中学
2014/10/07  12:28    <DIR>          实验中学
2014/10/07  12:28    <DIR>          广传汉文化
2014/10/07  12:28    <DIR>          文武学校
2014/10/07  12:28    <DIR>          智通学校
2014/10/07  12:28    <DIR>          望埠中学
2014/10/07  12:28    <DIR>          望埠中小
2014/10/07  12:28    <DIR>          机关幼儿园
2014/10/07  12:28    <DIR>          桥头中小
2014/10/07  12:28    <DIR>          横石塘中学
2014/10/07  12:28    <DIR>          横石塘中小
2014/10/07  12:28    <DIR>          横石水中学
2014/10/07  12:28    <DIR>          横石水中小
2014/10/07  12:28    <DIR>          水边学校
2014/10/07  12:28    <DIR>          沙口中学
2014/10/07  12:28    <DIR>          沙口中小
2014/10/07  12:28    <DIR>          波罗学校
2014/10/07  12:28    <DIR>          测试
2014/10/07  12:28    <DIR>          清远中英文学校
2014/10/07  12:28    <DIR>          田家炳中学
2014/10/07  12:28    <DIR>          白沙中学
2014/10/07  12:29    <DIR>          白沙中小
2014/10/07  12:29    <DIR>          益海小学
2014/10/07  12:29    <DIR>          石灰铺中学
2014/10/07  12:29    <DIR>          石灰铺中小
2014/10/07  12:29    <DIR>          石牯塘中学
2014/10/07  12:29    <DIR>          石牯塘中心小学
2014/10/07  12:29    <DIR>          网站模板
2014/10/07  12:29    <DIR>          网站模板 - 副本
2014/10/07  12:29    <DIR>          英东中学
2014/10/07  12:29    <DIR>          英城中小
2014/12/16  09:04    <DIR>          英城幼儿园
2014/10/07  12:29    <DIR>          英城街中学
2014/10/07  12:29    <DIR>          英德一中
2014/10/07  12:29    <DIR>          英德一小
2014/10/07  12:29    <DIR>          英德七小
2014/10/07  12:29    <DIR>          英德三小
2014/10/07  12:29    <DIR>          英德中学
2014/10/07  12:30    <DIR>          英德二中
2014/10/07  12:30    <DIR>          英德五小
2014/10/07  12:30    <DIR>          英德八小
2014/10/07  12:30    <DIR>          英德六小
2014/10/07  12:30    <DIR>          英德四小
2014/10/07  12:30    <DIR>          英德市八中
2014/10/07  12:30    <DIR>          英德职校
2014/10/07  12:30    <DIR>          英红学校
2014/10/07  12:30    <DIR>          英西中学
2014/10/07  12:30    <DIR>          西牛中学
2014/10/07  12:30    <DIR>          西牛中小
2014/10/07  12:30    <DIR>          连江中学
2014/10/07  12:30    <DIR>          连江中小
2014/10/07  12:30    <DIR>          连法院
2014/10/07  12:30    <DIR>          青坑学校
2014/10/07  12:30    <DIR>          青塘中学
2014/10/07  12:30    <DIR>          青塘中心小学
2014/10/07  12:30    <DIR>          鱼湾中学
2014/10/07  12:30    <DIR>          鱼湾中小
2014/10/07  12:30    <DIR>          黄花中学
2014/10/07  12:30    <DIR>          黄花中小
2014/10/07  12:30    <DIR>          黄陂中学
2014/10/07  12:30    <DIR>          黄陂中小
2014/10/07  12:30    <DIR>          黎溪中学
2014/10/07  12:30    <DIR>          黎溪中小
               0 个文件              0 字节
              88 个目录 45,318,262,784 可用字节


9.png


10.png


内网特别大,58 IP段存活主机(当前服务器存在的IP段)

11.png


内部共享资料与文件

12.png


13.png


14.png


可控制打印机

15.png


16.png


可控制各个学校大量摄像头
海康威视摄像头 弱口令 12345
我从 **.**.**.** 扫到 **.**.**.**
差不多有好几百个摄像头还不带重复的还有很多打印机
摄像头分多个地区 多个学校
随便挑了几个案例 图太多了.. 贴一点...

17.png


18.png


19.png


大量内网资料泄露
粗略扫了一下80和3389

**.**.**.**         80号端口打开
**.**.**.**       80号端口打开
**.**.**.**54       80号端口打开
**.**.**.**         80号端口打开
**.**.**.**        80号端口打开
**.**.**.**29       80号端口打开
**.**.**.**       80号端口打开
**.**.**.**         80号端口打开
**.**.**.**        80号端口打开
**.**.**.**       80号端口打开
**.**.**.**98       80号端口打开
**.**.**.**       80号端口打开
**.**.**.**       80号端口打开
**.**.**.**       80号端口打开
**.**.**.**       80号端口打开
**.**.**.**       80号端口打开
**.**.**.**       80号端口打开
**.**.**.**       80号端口打开
**.**.**.**       80号端口打开
**.**.**.**       80号端口打开
**.**.**.**       80号端口打开
**.**.**.**       80号端口打开
**.**.**.**         80号端口打开
**.**.**.**       80号端口打开
**.**.**.**        80号端口打开
**.**.**.**        80号端口打开
**.**.**.**        80号端口打开
**.**.**.**       80号端口打开
**.**.**.**1       80号端口打开
**.**.**.**       80号端口打开
**.**.**.**       80号端口打开
**.**.**.**       80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**       80号端口打开
**.**.**.**       80号端口打开
**.**.**.**       80号端口打开
**.**.**.**      80号端口打开
**.**.**.**        80号端口打开
**.**.**.**        80号端口打开
**.**.**.**        80号端口打开
**.**.**.**        80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**        80号端口打开
**.**.**.**        80号端口打开
**.**.**.**        80号端口打开
**.**.**.**        80号端口打开
**.**.**.**        80号端口打开
**.**.**.**        80号端口打开
**.**.**.**        80号端口打开
**.**.**.**        80号端口打开
**.**.**.**        80号端口打开
**.**.**.**0       80号端口打开
**.**.**.**1       80号端口打开
**.**.**.**2       80号端口打开
**.**.**.**3       80号端口打开
**.**.**.**4       80号端口打开
**.**.**.**8       80号端口打开
**.**.**.**19      80号端口打开
**.**.**.**55      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**        80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**       80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**2      80号端口打开
**.**.**.**3      80号端口打开
**.**.**.**5      80号端口打开
**.**.**.**7      80号端口打开
**.**.**.**8      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**      80号端口打开
**.**.**.**        80号端口打开
.....
指定扫了几个段的3389、4899
**.**.**.**       3389号端口打开
**.**.**.**       3389号端口打开
**.**.**.**       3389号端口打开
**.**.**.**       3389号端口打开
**.**.**.**       3389号端口打开
**.**.**.**       3389号端口打开
**.**.**.**        3389号端口打开
**.**.**.**      3389号端口打开
**.**.**.**      3389号端口打开
**.**.**.**      3389号端口打开
**.**.**.**      3389号端口打开
**.**.**.**8       3389号端口打开
**.**.**.**        3389号端口打开
**.**.**.**      3389号端口打开
**.**.**.**       3389号端口打开
**.**.**.**        3389号端口打开
**.**.**.**       3389号端口打开
**.**.**.**      3389号端口打开
**.**.**.**      3389号端口打开


8080的也不少 竟然还有4899
80多端口很多是内部的平台

39.png


一些IPC

20.png


21.png


22.png


内部平台
国家教育考试网上巡查系统

23.png


24.png


教师考评

25.png


大量弱口令

26.png


Sa弱口令直接进入服务器

27.png


**.**.**.**
Mssql 弱口令

sa
123456


添加了账号

test
zxc1230.0


28.png


管理员密码
Admin
222725


29.png


30.png


10.188.6.* 这个段基本是清远市第一中学和清远教育局的

31.png


清远教育局
**.**.**.** --> **.**.**.**
http://**.**.**.**/ --> 清远资源
http://**.**.**.**/ --> 清远教育局教学视频应用云平台
…..
http://**.**.**.**/cgi-bin/web_cgi_main.cgi
清远教育局RDU智能监控单元默认密码 admin emerson

32.png


33.png


http://**.**.**.**/v2/index.html
Storage Management Utility 默认密码 manage !manage

34.png


35.png


内网 图书馆系统万能密码

36.png


内网 论文库注入

37.png


内网 英德课件点播平台shell
http://**.**.**.**/N.aspx
数据库信息

Catalog=kejian;Persist Security Info=True;User ID=sa;Password=815460


提权添加的账号密码

test zxc1230.0


账号已删

38.png

漏洞证明:

23.png

修复方案:

内网很大,密码很弱!
时间不足,如果一直渗透下去的话估计收获会很大!危害也会变得很大!

版权声明:转载请注明来源 T0n9@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2016-04-01 14:48

厂商回复:

CNVD确认所述情况,已经转由CNCERT下发给广东分中心,由其后续协调网站管理单位处置.

最新状态:

暂无