当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0146581

漏洞标题:东方航空内网漫游记(应用层、系统层、中间件、路由以及域控服务器)

相关厂商:中国东方航空股份有限公司

漏洞作者: 卡卡

提交时间:2015-10-14 00:31

修复时间:2015-11-28 09:14

公开时间:2015-11-28 09:14

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-14: 细节已通知厂商并且等待厂商处理中
2015-10-14: 厂商已经确认,细节仅向厂商公开
2015-10-24: 细节向核心白帽子及相关领域专家公开
2015-11-03: 细节向普通白帽子公开
2015-11-13: 细节向实习白帽子公开
2015-11-28: 细节向公众公开

简要描述:

打卡~三过域控而不入啊!
安全惨不忍睹啊~
我猜你们需要一次测评
嗯~找谁呢
不然找我们好了

详细说明:

https://mail.ceair.com


利用大数据,对东方航空exchange邮件服务器进行了fuzz测试,不出十分钟,爆出了6个用户

lixiaoyan1  abcd521123
bkliu  777777d
gchen1  cheng123
xbzhu  zhu105
yhmao  62718967mama
yyqi  wjy99721


利用爆出的帐号尝试登录邮件系统成功

QQ截图20151013083346.png


在邮件里并未找到敏感信息,尽是一些工作总结汇报。
遂尝试用爆出的帐号登录vpn系统。

https://sslvpn.ceair.com


很快找到vpn登录口,尝试登录成功

Capture.PNG


下载客户端,拨入vpn

vpn.PNG


vpn1.PNG


至此,已成功进入东方航空内网
在内网中扫描,发现内网存在多处安全隐患,涉及应用层,中间件,路由器
mysql弱口令

mysql.png


connat.png


phpinfo泄漏路径,root权限直接写一句话

shell.png


目录遍历致使内部资料外泄

imp.png


cisco路由器存在默认口令 cisco/cisco

cisco.png


jboss中间件

jboss.png


minglzhixing.png


system权限,服务器处于域环境

*11
*AOC运控管理组
*AOC座席组
*BO全局组
*Cert Publishers
*CUA
*Data Backup
*DnsUpdateProxy
*Domain Admins
*Domain Computers
*Domain Controllers
*Domain Guests
*Domain Users
*Enterprise Admins
*Enterprise Read-only Domain Controllers
*FOC综合查询组
*Group Policy Creator Owners
*HQ PcAnywhere User 全局组
*jetplanner工作组
*jiesuan new
*JN PcAnywhere User 全局组
*kvm_group
*kvm_group2
*netline
*oa系统帐户组
*oracle财务组
*PRAS全局组
*Read-only Domain Controllers
*renshi_all
*renshi_ca
*renshi_da
*renshi_expect_da
*renshi_gzjj
*renshi_peixun
*renshi_zy
*Schema Admins
*SCRead
*SCWrite
*Server Group
*System Administrators
*TS用户组
*xsfx
*保障室全局组
*成本审核全局组
*乘务排班系统组
*虹桥管理员
*呼叫中心cc
*话务室全局组
*货运cfps系统
*货运结算系统组
*机务管理员全局组
*计财部全局组
*计算机室全局组
*结算citrix
*劳务结算
*联航乘务部
*联航飞行部
*联航机务部
*联航计财部
*联航人保部
*联航商务部
*联航用户组
*联航运控中心
*浦东管理员
*签派全局组
*收料单领料单全局组
*收益分析profit全局组
*收益分析全局组
*收益管理全局组
*销控
*新系统外办citrix用户
*总部管理员


web应用的安全漏洞更是多不胜数,你们到时自测。
sql注入

sqlzhru.png


只是粗略的看了下的,还有个段没扫呢!!!

漏洞证明:

mysql弱口令

mysql.png


connat.png


phpinfo泄漏路径,root权限直接写一句话

shell.png


目录遍历致使内部资料外泄

imp.png


cisco路由器存在默认口令 cisco/cisco

cisco.png


jboss中间件

jboss.png


minglzhixing.png


system权限,服务器处于域环境

*11
*AOC运控管理组
*AOC座席组
*BO全局组
*Cert Publishers
*CUA
*Data Backup
*DnsUpdateProxy
*Domain Admins
*Domain Computers
*Domain Controllers
*Domain Guests
*Domain Users
*Enterprise Admins
*Enterprise Read-only Domain Controllers
*FOC综合查询组
*Group Policy Creator Owners
*HQ PcAnywhere User 全局组
*jetplanner工作组
*jiesuan new
*JN PcAnywhere User 全局组
*kvm_group
*kvm_group2
*netline
*oa系统帐户组
*oracle财务组
*PRAS全局组
*Read-only Domain Controllers
*renshi_all
*renshi_ca
*renshi_da
*renshi_expect_da
*renshi_gzjj
*renshi_peixun
*renshi_zy
*Schema Admins
*SCRead
*SCWrite
*Server Group
*System Administrators
*TS用户组
*xsfx
*保障室全局组
*成本审核全局组
*乘务排班系统组
*虹桥管理员
*呼叫中心cc
*话务室全局组
*货运cfps系统
*货运结算系统组
*机务管理员全局组
*计财部全局组
*计算机室全局组
*结算citrix
*劳务结算
*联航乘务部
*联航飞行部
*联航机务部
*联航计财部
*联航人保部
*联航商务部
*联航用户组
*联航运控中心
*浦东管理员
*签派全局组
*收料单领料单全局组
*收益分析profit全局组
*收益分析全局组
*收益管理全局组
*销控
*新系统外办citrix用户
*总部管理员


sql注入

sqlzhru.png


修复方案:

1.账户体系严格控制,不要指哪补哪
2.内网安全抓好,员工勤做培训
3.找我们来一次测评吧

版权声明:转载请注明来源 卡卡@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-10-14 09:12

厂商回复:

十分感谢。

最新状态:

暂无