大麦网从命令执行到管理员PC到域控

漏洞详情

披露状态:

2014-02-19: 细节已通知厂商并且等待厂商处理中
2014-02-21: 厂商已经确认,细节仅向厂商公开
2014-03-03: 细节向核心白帽子及相关领域专家公开
2014-03-13: 细节向普通白帽子公开
2014-03-23: 细节向实习白帽子公开
2014-04-05: 细节向公众公开

简要描述:

由于服务器配置不当以及管理员安全意识薄弱,导致全线业务+内网被xxx
打击黑产打击黄牛
少年,我们一起rock live可好?

详细说明:

存在问题的web服务在

http://oa.damai.cn/login.action oa系统

有struts2命令执行

1.PNG



服务配置的原因 上传jsp文件 只要不登陆访问就会跳回登陆页面

所以上传jspx菜刀服务端

2.PNG



破解shadow里的root密码是1******

读ssh配置 ssh端口为5616

不允许root登陆

后来发现批量部署脚本

3.PNG



设置ssh端口5616 不允许root ssh登陆 增加用户damai 设置密码为123******

后来扫描网段内5616端口

192.168.50.32
192.168.50.111
192.168.50.112
192.168.50.113
192.168.50.131
192.168.50.137
192.168.50.140
192.168.50.146
192.168.50.147
192.168.50.148
192.168.50.160
192.168.50.162
192.168.50.163
192.168.50.164
192.168.50.179
192.168.50.180
192.168.50.181
192.168.50.189
192.168.50.190
192.168.50.191
192.168.50.192
192.168.50.193
192.168.50.228
192.168.50.245
192.168.50.246
192.168.50.250
192.168.51.101
192.168.51.103
192.168.51.104
192.168.51.107
192.168.51.108
192.168.51.109
192.168.51.110
192.168.51.111
192.168.51.112
192.168.51.113
192.168.51.114
192.168.51.115
192.168.51.116
192.168.51.117
192.168.51.118
192.168.51.119
192.168.51.120
192.168.51.121
192.168.51.122
192.168.51.123
192.168.51.124
192.168.51.125
192.168.51.126
192.168.51.127
192.168.51.128
192.168.51.129
192.168.51.200
192.168.51.240
192.168.68.124
192.168.68.134
192.168.68.135
192.168.68.141
192.168.68.143
192.168.68.144
192.168.68.145
192.168.68.146
192.168.68.167
192.168.68.171
192.168.68.172
192.168.68.175
192.168.68.177
192.168.68.179
192.168.68.181
192.168.68.182
192.168.68.183
192.168.68.184
192.168.68.185
192.168.68.186
192.168.68.187



大部分可以用damai账号登陆 然后su 密码1******就可以了

这些机器大多是对内对外的web服务以及数据库服务器

漏洞证明:

然后对3389端口进行探测

发现部分开放的ip

192.168.68.121
192.168.68.122
192.168.68.127
192.168.68.128
192.168.68.129
192.168.68.131
192.168.68.132
192.168.68.133
192.168.68.139
192.168.68.150
192.168.68.151
192.168.68.152
192.168.68.153
192.168.68.154
192.168.68.156
192.168.68.159
192.168.68.162
192.168.68.165
192.168.68.166
192.168.68.168





直接用administrator\123******去登陆192.168.68.168

成功登陆 并且这是一台域成员机

域名pony

4.PNG



机器大部分是业务的数据库服务器

并且可以找到大量的配置文件

5.PNG



<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<appSettings>
<add key="mysqlconn" value="server=192.168.50.38;uid=root;pwd=******;database=dm_noc;Charset=utf8"/>
<add key="ip" value="192.168.68.122" />
</appSettings>
</configuration>

-- ================================================================================
declare @sqlstr nvarchar(500) = 'opendatasource(''SQLNCLI10'',''Data Source=192.168.66.21\SQL2008,14330;User ID=dev;Password=******;'').'
,@sh_sqlstr nvarchar(500) = 'opendatasource(''SQLNCLI10'',''Data Source=192.168.66.21\SQL2008,14330;User ID=dev;Password=******;'').'
,@mysqlstr nvarchar(500) = 'openrowset(''MSDASQL'',''Driver={MySQL ODBC 5.2 unicode Driver};;Server=192.168.4.169;
Database=maitix_org;User=root;Password=******;Option=3;''';


'Data Source=192.168.3.32\SQL2008;User ID=dev;Password=******;'



筛选部分证明



然后回到linux的网段到机器上查看各种日志

定位到一个管理员网段

172.16.50.x



最后找到一台开机的开放3389的pc

172.16.50.3 同样密码是administrator\123******(huqiang-pc)

登陆发现管理员在线 使用ipc浏览文件上传nc 添加计划任务反弹回shell

6.PNG



9.PNG



8.PNG



抓取用户huqiang的密码

后来下载回defualt.rdp

发现连接到192.168.50.243

并且这台机器登陆的账号比较多

然后用huqiang以及抓取到的密码成功登陆 然后抓到这台机器的部分用户密码



继续扫描50网段的开放3389机器 50网段机器大多不在域中 用获取到的密码 轮流登陆继续获取更多密码

有几个密码后回到68网段登陆域控

最后利用caobj用户成功



部分抓取到的密码

huqiang
123******


liaoyong
dm******


lizengmin lizm
hdlzm******



Administrator
piaowu******


caobj
LogonDomain: PONY
hongmac******


UserName: gaohualong
LogonDomain: PONY
password: d******



7.PNG





渗透结束

虽然描述中拿到的机器不多 但是渗透到此

控制全部业务都轻而易举了

修复方案:

严格排查对外业务安全

提高管理员安全意识





送少年两张票可好?

版权声明:转载请注明来源 s0mun5@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-02-21 09:07

厂商回复:

已经确认漏洞是我们疏忽造成的,我们会尽快完善我们内网安全管理,谢谢提供宝贵意见。

最新状态:

暂无


漏洞评价: