WooYun.org

1. 先从这个IP说起：
http://60.**.1*.** 若账户事件
进去时貌似已经被传了很多马了，已修改密码…还请厂商自行重置或修改

验证厂商：
旁站刚好有恒生电子的邮件系统/ 同时通过shell net view 查看内网服务器命名得知

2. shell: http://60.1#.#5.1#:7001/jmxroot/jmxroot.jsp

3. 尝试进入内网看看
俘获管理员密码 hun***111***

4. 咱们来看看内网如何
服务器1： 192.168.55.39 同上一样

服务器2： 192.168.55.46 摩根士丹利华鑫基金的交易系统

服务器3： 192.168.55.75

服务器4： 192.168.55.183 恒生信托业务管理系统

抓出数据源看看
jdbc:oracle:thin:@192.168.55.185:1521:orcl
user: t***   pass:t***

其他信息就不一一去查看了
服务器5： 接下来看另外一个网段： 192.168.54.86

看看数据源
jdbc:oracle:thin:@192.168.54.86:1521:orcl


mask 区域

*****  pas*****

2234 再来一次...换个账号继续撸

服务器6： 192.168.54.152

服务器7： 192.168.54.253

数据源信息：  具体不仔细查看
jdbc:oracle:thin:@192.168.54.253:1521:orcl


mask 区域

***** pass:*****

换个姿势再来一次
服务器8： 192.168.68.79 恒生电子运营服务平台

验证下

服务器9： 192.168.52.142、
微信服务管理平台 需要谷歌内核的浏览器，表示服务器只有IE 就不进去看看了

服务器10： 192.168.53.98
证券系统的

数据源：
jdbc:oracle:thin:@192.168.53.26:1521:oradepl
user: bfm2***
pass: hand****
jdbc:oracle:thin:@192.168.53.51:1521:ora10g
user: bfm***
pass: hand****

接下来再换一台服务器
192.168.49.43 恒生系统

数据源
jdbc:oracle:thin:@192.168.54.150:1521:ora10g
user: sp***
pass: sp***

服务器： 192.168.49.44 和上面是同一个系统...

服务器： 192.168.49.144 具体没搞清楚是个什么业务系统

服务器： 192.168.49.168 这个是渤海信托的...众筹系统...

最后来测验下通用账号 利用之前的管理员账号 administrator 密码：hundsun@1
全场通用

为避免和在线的管理员冲突， 简单验证下密码即可

最后跨一个网段测试下
不敢停留过久....截图就走了
IP： 192.68.53.101

最后给厂商一句话....求rank 求礼物
作为金融软件企业 内网很糟糕...尽快修复 所有检测 点到为止
以上只是冰山一角...更多精彩内容等待挖掘...