当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0145722

漏洞标题:四川某市大型燃气SCADA系统内网漫游(全市工厂学校政府可监控/配置/人机交互可发指令)

相关厂商:cncert国家互联网应急中心

漏洞作者: Xmyth_夏洛克

提交时间:2015-10-10 11:45

修复时间:2015-11-28 17:14

公开时间:2015-11-28 17:14

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-10: 细节已通知厂商并且等待厂商处理中
2015-10-14: 厂商已经确认,细节仅向厂商公开
2015-10-24: 细节向核心白帽子及相关领域专家公开
2015-11-03: 细节向普通白帽子公开
2015-11-13: 细节向实习白帽子公开
2015-11-28: 细节向公众公开

简要描述:

刮风这天,我试过握着你手,但偏偏,风渐渐,大到我看你不见

详细说明:

四川省江油市燃气管理系统

登陆页面.png


admin/123456进入
是个监控平台
涉及大量企业,工厂,学校,政府等等
华油

svg华油.png


沃尔玛

svg沃尔玛.jpg


政府

svg政府.png


等等
监控数据

数据展示.png


数据展示2.png


系统配置图

系统配置图.png


这个系统存在一个上传点

上传点.png


传大马,getshell

**.**.**.**:8085/duty/template/5ff4940a-52b2-406e-aac3-55659f2176c0.jsp?o=vLogin


内网ip.png


3389已开
lcx端口转发,由于是系统权限,可添加自己的用户

lcx.png


成功进入他们服务器
渗透到这一步卡壳了。。。于是想到抓密码

抓到密码.png


成功抓到我这台服务器的密码
登陆管理员账号

ies.jpg


居然开着iES-E1000

ies.jpg


这个系统之前jianfen前辈曾经碰到过,http://**.**.**.**/bugs/wooyun-2010-0132010

scada.png


可人机交互发指令,危害很大
但是当前服务器上的权限不够,只能操纵web,并不能人机交互
于是尝试连接**.**.**.**这个机器,密码是通杀的,都一样,其实整个工控系统的内网密码都是一样的,工作人员安全意识淡薄啊

ies1.jpg


也开了iES-E1000
权限很大,可以人机交互发指令

1es1可人机交互.jpg


其他的服务器192.168.1.*也可以进入,就不再深入了

漏洞证明:

已经证明

修复方案:

1.web端弱口令通常作为入口点
2.web端任意上传
3.内网密码一样

版权声明:转载请注明来源 Xmyth_夏洛克@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2015-10-14 17:12

厂商回复:


CNVD确认并复现所述情况,已经转由CNCERT向国家能源局信息中心通报,由其后续协调网站管理单位处置; 同时转由CNCERT下发给四川分中心

最新状态:

暂无