漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0115934
漏洞标题:长江三峡水电站可被内网漫游(穿越防火墙)
相关厂商:cncert国家互联网应急中心
漏洞作者: GrayTrack
提交时间:2015-05-24 21:43
修复时间:2015-07-12 22:54
公开时间:2015-07-12 22:54
漏洞类型:基础设施弱口令
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-05-24: 细节已通知厂商并且等待厂商处理中
2015-05-28: 厂商已经确认,细节仅向厂商公开
2015-06-07: 细节向核心白帽子及相关领域专家公开
2015-06-17: 细节向普通白帽子公开
2015-06-27: 细节向实习白帽子公开
2015-07-12: 细节向公众公开
简要描述:
巴东三峡巫峡长,猿鸣三声泪沾裳
对三峡水利有一种莫名的好感以及基于对基础设施的安全检测,于是有了此文。
Ps:三峡画面很美,以后一定要去看看。
详细说明:
0x01 官网后台沦陷
www.ctgpc.com.cn
官网没发现什么明显漏洞,逛了逛首页和其他链接,
随手加上一个admin
http://www.ctgpc.com.cn/sbgs_new/admin/index.php 后台地址泄露。
再随手加上一个admin,admin,居然进来了,醉醉的感觉。三峡官网居然如此脆弱?
进来后台,有上传点,但是上传已经被破坏掉了,想利用注入点写shell看看,有waf拦截,sqlmap跑不起,后台拿shell基本没戏。于是切换思路。
0x02 邮件破解
发现外网邮件登录入口,http://email.ctgpc.com.cn/
结合漏洞http://wooyun.org/bugs/wooyun-2010-092781 ,该漏洞居然还没修复。
从该邮箱的联系人列表里面得到一份大量的三峡员工用户名,
组成用户名字典,爆破邮箱。
这里稍微贴上几个success的列表,
翻邮件,找到一个信息中心的人员账号,接下来的画面很黄很暴力,自带手纸。
江山如此多娇,拿到这么多账号密码,全部在内网,由于防火墙限制,没有跳板机,在这里我纠结了。现在的想法是需要得到一个vpn账号来进行登录。
找到三峡的vpn入口https://sa.ctgpc.com.cn/
本想使用破解得到的邮箱密码来进行登录的,可是邮箱密码和vpn密码是不同的,就连用户名格式都不知道,是使用姓名简写登录呢还是使用邮箱格式登录呢?
这里我从破解到的邮箱中找到了一个员工的qq号码,一番社工询问后,得到三峡vpn登录入口的用户名格式为zhang_san,就是姓氏+下划线+名字的拼音,默认密码为身份证尾号后六位。社工截图就不贴了。用这个表情代替吧。
得到vpn的基本信息后,打算再次进行暴力破解,但是vpn登录入口在暴力破解几百次之后,ip被封了。一时间陷入僵局,没有自动切换ip进行暴力破解的工具。
漏洞证明:
0x03 内网入口突破,漫游内网
无赖之下,伪装成信息中心的人员,发送如下钓鱼邮件。
破开内网大门!
首先来一张内网门户合集。一堆的应用系统。
然后呢,单点登录,使用破解到的一个信息中心的员工,单点登录,确实方便了许多,
档案管理系统,这画面好美的说,
档案馆内存有三峡工程的许多技术文档和工程文档,这里涉及国家机密,没敢乱动。
自助报销
内网网段:192.168.16.16 ~192.168.16.255
主机http://192.168.16.16/PhpMyAdmin/ 空口令连接,我也是醉了
文件http://192.168.16.16/inc%5Cveri_priv.inc.php 报错爆出物理路径,
d:\usr\www\html\inc\veri_priv.inc.php
Mysql写一句话不必多说 http://192.168.16.16/piaochuang/images/3.php 测试shell,请自行删除。
该服务器数据库有一个账号密码,请自行检测是否正常。
<T>MYSQL</T>
<H>localhost</H>
<U>whoami</U>
<P>uptoyou</P>
管理员密码黄子安,看到这里,我不禁想到域名信息,hello您好。
192.168.16.16 系统权限运行,可dump下管理员密码。点到为止。
内网路由器
http://10.66.10.151/userRpm/Index.htm admin admin
电力生产信息
OA系统
还有好多系统就不一一列举啦。
这里得到一份网络说明
还能利用跳板机进行内网跨域渗透,监听和嗅探密码,以及其他探测,相信双网隔离的渗透也只是时间问题,仅作测试,所以不再进一步深入啦。
0x04 解决方案
1、邮件系统登录入口设置验证码和其他防暴力破解机制
2、修改官网后台登陆入口和管理员密码。
3、自查外网邮件弱口令,所有用户口令强制修改为复杂口令
4、Vpn登录密码强制使用复杂口令。后来我用工具爆破出来了几个弱口令。
5、 内网渗透测试
修复方案:
审核的时候给个闪电如何?@疯狗@肉肉
版权声明:转载请注明来源 GrayTrack@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:12
确认时间:2015-05-28 17:16
厂商回复:
CNVD确认所述情况,已经转由CNCERT向能源行业信息化主管部门通报,由其后续协调网站管理单位处置.
最新状态:
暂无