神刀安全网

漏洞标题: 安盛天平财产邮箱弱口令导致的成功一半域渗透

漏洞详情

披露状态:

2016-03-17: 细节已通知厂商并且等待厂商处理中
2016-03-21: 厂商已经确认,细节仅向厂商公开
2016-03-31: 细节向核心白帽子及相关领域专家公开
2016-04-10: 细节向普通白帽子公开
2016-04-20: 细节向实习白帽子公开
2016-05-04: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

为什么成功一半呢。。。no getpass tools带面纱的那种~~~~~~

详细说明:

首先是随便拿了几个用户报出了一个密码

[email protected] [email protected]

登陆

漏洞标题:  安盛天平财产邮箱弱口令导致的成功一半域渗透

这里发现了第一个问题,对全球通讯录进行邮箱搜集后,通过暴力破解,可以破解出大量的邮箱弱口令

先上爆破图

漏洞标题:  安盛天平财产邮箱弱口令导致的成功一半域渗透

本来到这里就结束了,但是手贱,看到共享文件夹里面有一封邮件。。。然后~~~~

漏洞标题:  安盛天平财产邮箱弱口令导致的成功一半域渗透

还有个CITRIX。so,登陆了,然后点了半天个小时没点开。。真的是,是不是配置错了呀,没事,哥有法宝—说明书

漏洞标题:  安盛天平财产邮箱弱口令导致的成功一半域渗透

卧擦,原来是位置不对,嗯,这次进来了

漏洞标题:  安盛天平财产邮箱弱口令导致的成功一半域渗透

嗯,CITRIX防范的不严,shift+F1,调出了任务管理器,然后cmd

哈哈,可以执行命令了

code 区域
Windows IP 配置

主机名 . . . . . . . . . . . . . : wm0xap04
主 DNS 后缀 . . . . . . . . . . . : tpaicdom.com
节点类型 . . . . . . . . . . . . : 混合
IP 路由已启用 . . . . . . . . . . : 否
WINS 代理已启用 . . . . . . . . . : 否
DNS 后缀搜索列表 . . . . . . . . : tpaicdom.com

以太网适配器 以太网:

连接特定的 DNS 后缀 . . . . . . . :
描述. . . . . . . . . . . . . . . : Intel(R) 82574L 千兆网络连接
物理地址. . . . . . . . . . . . . : 00-50-56-A8-B1-E8
DHCP 已启用 . . . . . . . . . . . : 否
自动配置已启用. . . . . . . . . . : 是
IPv4 地址 . . . . . . . . . . . . : 10.100.61.128(首选)
子网掩码 . . . . . . . . . . . . : 255.255.255.0
默认网关. . . . . . . . . . . . . : 10.100.61.254
DNS 服务器 . . . . . . . . . . . : 10.100.63.18
10.100.63.28
TCPIP 上的 NetBIOS . . . . . . . : 已启用

隧道适配器 isatap.{9EBFCF23-C419-4152-B2C9-EF2ED4B05A72}:

媒体状态 . . . . . . . . . . . . : 媒体已断开
连接特定的 DNS 后缀 . . . . . . . :
描述. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter
物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP 已启用 . . . . . . . . . . . : 否
自动配置已启用. . . . . . . . . . : 是

C:/Windows/system32>


------------------------------------------------
C:/Windows/system32>net group "domain admins" /domain
这项请求将在域 tpaicdom.com 的域控制器处理。

组名 Domain Admins
注释 指定的域管理员

成员

-------------------------------------------------------------------------------
Administrator arubamgt AXATP_BK
axatp_trust citrixadmin DomainTrust20140110
ex_lijun lujiacheng mailcluster
mailsrv netbackup rmsservice
ruhua.wang runmont sangfor
scanuser sslvpn windows_admin
命令成功完成。


C:/ProgramData>net group "domain controllers" /domain
这项请求将在域 tpaicdom.com 的域控制器处理。

组名 Domain Controllers
注释 域中所有域控制器

成员

-------------------------------------------------------------------------------
TPAIC-CCDOMSRV$ TPAIC-CCDOMSRV2$ TPAICDOMBAK$
TPAICDOMSRV01$ TPAICDOMSRV02$ TPAIC-NMDOMSRV$
TPAIC-SALESRV$ TPAIC-WHDOMSRV1$
命令成功完成。

看到在域中,就继续看了一下,下面是最精彩的时候,管理员应该被拖出去吊打

cmd>net localgroup administrators

Admin

CtxAppVCOMAdmin

TPAICDOM/citrixadmin

TPAICDOM/Domain Admins

TPAICDOM/GWGroup

请注意 TPAICDOM/GWGroup,什么东西好像混进来了。。

查看这个组的成员,我靠。。所有的域普通用户都在这里啊

漏洞标题:  安盛天平财产邮箱弱口令导致的成功一半域渗透

既然有了本机的管理员权限,等待时机(域管理上线管理CITRIX主机/本身机器中服务的域管理账号)就能搞定整个域了

于是上了mimikatz,于是乎被杀了。。卧擦。。唉,算了就到这里吧,已经很严重了

漏洞证明:

上面说明白了

修复方案:

1、加强邮箱密码吧,虽然8位有特殊字符,但是对于公司来讲也是弱口令

2、CITRIX外面设置个base验证,或者加二次验证

3、CITRIX的本地管理员组,不需要CWGROUP这个组

4、其他的,打这么多字不容易,给个20吧

版权声明:转载请注明来源 路人甲@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: 安盛天平财产邮箱弱口令导致的成功一半域渗透

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址