当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-046775

漏洞标题:中国电信某核心业务监控平台沦陷引发内网信息泄漏

相关厂商:中国电信

漏洞作者: hacker@sina.cn

提交时间:2013-12-23 11:33

修复时间:2014-02-06 11:34

公开时间:2014-02-06 11:34

漏洞类型:SQL注射漏洞

危害等级:低

自评Rank:1

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-12-23: 细节已通知厂商并且等待厂商处理中
2013-12-27: 厂商已经确认,细节仅向厂商公开
2014-01-06: 细节向核心白帽子及相关领域专家公开
2014-01-16: 细节向普通白帽子公开
2014-01-26: 细节向实习白帽子公开
2014-02-06: 细节向公众公开

简要描述:

为了感谢电信的节前礼物,特意在节前挖了点漏洞送你们,是不是很没节操?工程师蛋碎了有木有?呵呵呵呵呵

详细说明:

这套系统隶属21CN技术总部,作为邮箱系统的监控平台而存在。
电信大内网10.62段,负责监控189邮箱系统、21CN邮箱系统、BNET网等。
自我判断所有邮箱系统核心业务段都是其负责监控。
做监控的主机有什么危害?他能监控别人,就意味着几乎可以不受限制的访问对方,这就是一个最佳跳板!很少管理员会想去做监控主机的ACL
脆弱点:
1.Ipswitch WhatsUp Gold监控平台默认口令 admin/admin
2.SA权限SQL注入可执行任意系统命令
3.敏感信息泄漏
第一个就不说了,安全意识问题,其中SQL注入这个问题完全是人为原因导致,本来也没什么,这套系统自身很安全,而且只把WEB管理端的端口映射了出来,虽然有默认管理口令,也顶多看看内网的IP地址主机名什么的,因为电信监控架构的原因,实质上这个监控平台只是依靠PING做一些网路连通性检测,没有部署其他操作执行的权限,至此危害并不大。
但工程师可能觉得看着英文界面不爽 还是操作麻烦怎么滴,自己写了一个业务状态统合统计页面。这就坑爹了,就是这个页面参数没过滤,直接导致了SA权注入,这套享誉业界的Whatsup监控系统默认会安装MSSQL组件作为默认存储数据库,默认帐号就是SA用户,可见当初安装时并未做降权处理而是直接采用了默认配置。
上个月发现这个点的时候,脑抽了一阵,本来可以速战速决的,但是不知当时是怎么的,愣是以为这台机器只映射出来个管理端口,自身无法联网。好像当时是执行了个telnet 测试到我VPS的nc监听端口没出来,要不然直接种个后门反弹出来。接着暴不到网站路径,用master..xp_cmdshell 写猜的c:\inetpub\wwwroot\1.asp也访问不到(因为网站不是这个路径)。注入点无法用工具跑,没法列目录什么的(后来看到asp文件里的SQL语句我都哭了)。呵呵呵 当时我都放弃了 嫌麻烦。因为也不知道这东西有什么价值,要不是电信这几天送我礼物我都想不起来。
18号接到CNVD的信后,一下子心情就不一样了,好像终于见到回头钱了一样。逐决定把这些以前没心思看的重新捡起来试试。
其实当时的测试是非常不严谨的,毕竟测试系统是否能联网的方式有很多种,telnet、ftp、一句话wget.vbs什么的 ,我当时只采取了第一种方式,所以这次本也以为他无法外连的(惯性思维了 啪>_<#!),就去找了Ipswitch的破解版拉到本地安装了一番(几百兆啊我去!网通2M小水管下了半天啊有木有!!)。找到了如下信息:
默认SA口令:WhatsUp_Gold
默认管理员:admin/admin
默认安装后的网站路径:C:\Program Files\Ipswitch\WhatsUp\HTML
知道路径后开始尝试echo一句话到C:\Program Files\Ipswitch\WhatsUp\HTML\1.asp,访问404 玻璃心都碎了有木有。
然后开始猛击键盘泄愤,敲着敲着蹦出来个D:\Program Files\Ipswitch\WhatsUp\HTML\1.asp,瞬间脑抽痊愈,路径正确,访问成功。 果然管理员是把监控装在了D盘,可能觉得系统盘不好吧?呵呵呵,其实我特别不理解一块硬盘或作了RAID的情况,然后觉得C盘东西多影响系统速度的思维。以前搞外国人的网站人家什么都装C盘里 呵呵呵。
拿到shell抓了下密码管理,发现内网一些WIN服务器可登录哦!其中一台主机名为:YT-VPN2 呵呵呵,这什么节奏?我没细看了。这要做测评肯定不合规,呵呵呵,口令怎么能通用呢。
c段开放3389端口的机器:
10.62.13.18 监控本机
10.62.13.19 YT-VPN2
10.62.13.50
10.62.13.53
接下来讲讲敏感信息泄漏的事儿:
访问网站点击右侧的“监控点清单”直接列出来所有监控目标项目了,不觉得这很坑爹么?连后台都不用登录。
http://121.14.53.189:58000/MonitorList.asp
连检测脚本也可以看到,有的服务测试帐号密码也可见呦
http://121.14.53.189:58000/MonitorCheckScriptList.asp
回到服务器上,翻目录发现D盘有个“中国电信集团电子邮件和网络存储系统设备信息统计.xls” 这个文档其实是被加密了,管理员还是有点安全意识的,可没人告诉过他这种97式office的打开密码可以被移除么?赶紧换xlsx的ASE加密吧,咳咳咳。
轻松用Office Password Recovery Toolbox移除,里面就是如图所示的全网IP地址列表了,呵呵呵。这种东西都不应该放在服务器上,应该只放在网管机器上。不符规定。这个表我截图完就删了,留着也没用,只是为了说明这种加密不安全。
全篇写了那么长的废话是因为自己2货了一把,很鄙视自己啊,唉。果然做事情要认真细致才能少走弯路啊。不过意外的还是完成了既定目的,这说明,持之以恒也是很重要的,嗯 信心很重要。不抛弃不放弃。
最后把工程师写的SQL语句贴出来与君共勉:

datasql="Exec whatsup.dbo.p_DeviceDetailsData" + nDeviceID


我说我怎么读不出来数据呢,坑死爹了。研究了半天语法、绕过、闭合这那的。总提示and 附近语法错误 呵呵呵呵。

漏洞证明:

后台默认口令:
http://121.14.53.189:58000/NmConsole/CoreNm/User/DlgUserLogin/DlgUserLogin.asp
admin/admin
SA注入点命令执行:

http://121.14.53.189:58000/devicedetails.asp?nDeviceID=170;exec%20master..xp_cmdshell%20"ipconfig /all>d:\Progra~1\Ipswitch\WhatsUp\HTML\NmConsole\1.txt";--


主机名:21cn-yt-whatsup
内网IP:10.62.13.18
管理员:Administrator
管理密码:!@#$&*()
备注:这个密码是键位顺序密码,太短,也不好,容易被破解,服务器密码建议至少14位以上。
主机是2003企业版sp1 几乎没打补丁,这个习惯很不好,就算不是SA,db导出个ASP上去也能提权有木有?
监控项目列表(具体IP没截图,每个组里一堆机器):

.png


内部IP列表:

QQ截图20140613224019.png


检测脚本敏感信息:

.png


监控列表IP泄漏:

QQ截图20140613222935.png


修复方案:

为何极2跟极1一个价,电信发我们极1呢?还有 我一直觉得 黑色比较酷!适合黑客群体诶!银色略屌。

版权声明:转载请注明来源 hacker@sina.cn@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-12-27 20:47

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT紧急向中国电信集团公司通报。对于白帽子,也请注意控制非授权测试风险。

最新状态:

暂无