漏洞详情

披露状态:

2014-09-11: 细节已通知厂商并且等待厂商处理中
2014-09-15: 厂商已经确认,细节仅向厂商公开
2014-09-25: 细节向核心白帽子及相关领域专家公开
2014-10-05: 细节向普通白帽子公开
2014-10-15: 细节向实习白帽子公开
2014-10-26: 细节向公众公开

简要描述:

审核请@cnvd @这公司不靠谱
来个广告
http://www.cityhotspot.com.cn/index.php?m=link 用户涉及 政府 教育 企业等
mac 鼓捣好久才上了城市热点 还得web登录 希望改善啊 总是关机前忘记注销,下一次还得强制离线 能否开发个通用得mac登录工具啊
求首页 我能不能升普通白帽 全靠 审核大大跟cnvd了

详细说明:

渗透起源于wooyun 前案例 WooYun: 城市热点公司安全隐患导致内网被渗透,大量客户资料泄露

272046123455a43b5a77bcdbff350dfaf72c3486.jpg


发现 有外网入口 于是利用该用户密码登录了一下 密码当然修改了 已经不事这个密码了
然后发现密码是 名字缩写+drcom123 组成的 初始密码 所以只要拿到员工名单就可以以默认密码尝试登录 于是利用 目录遍历漏洞 找到了 考勤数据库 mdb格式的
http://210.21.59.57:99/test/kq.mdb

屏幕快照 2014-09-10 23.10.36.png


顺利找到一个普通权限的进去 发表文章上传附件 php跟asp有过滤 aspx没有过滤 上传aspx一句话后上传php 获得管理员权限(windows环境)

屏幕快照 2014-09-10 23.25.04.png


内网ip 利用 htran 开反弹代理 成功进入内网
数据库 root drcom
连接数据库 破解密码 撞库登录网易企业邮箱
找到一个系统

屏幕快照 2014-09-07 21.20.09.png


用户名 hgs 密码 admin
该系统只对前台进行了上传过滤 抓包改后缀名 上传 jsp一句话

屏幕快照 2014-09-10 23.28.17.png


收集信息
<driver-url>jdbc:oracle:thin:@192.168.0.203:2505:drcom</driver-url>
<driver-class>oracle.jdbc.driver.OracleDriver</driver-class>
<driver-properties>
<property name="user" value="drcom"/>
<property name="password" value="drcom"/>
<driver-url>jdbc:mysql://192.168.0.203:3306/drcomweixin</driver-url>
<driver-class>com.mysql.jdbc.Driver</driver-class>
<driver-properties>
<property name="characterEncoding" value="UTF-8"/>
<property name="user" value="root"/>
<property name="password" value="drcom"/>
我相信 这绝对不是偶然 密码都是 drcom
所以 扫描 3306和1521端口 3306 用root/drcom 1521用 drcom/drcom sid drcom
尝试登录 得到以下数据库权限
mysql

屏幕快照 2014-09-10 23.38.32.png


oracle
192.168.0.76 1521号端口打开
192.168.0.115 1521号端口打开
192.168.2.152 1521号端口打开
192.168.14.111 1521号端口打开
192.168.31.151 1521号端口打开
192.168.31.161 1521号端口打开
192.168.31.214 1521号端口打开
192.168.32.150 1521号端口打开
192.168.34.49 1521号端口打开
192.168.34.58 1521号端口打开
用户密码SID 都为drcom
然后发现 交换机web登录密码都为 admin/drcom
然后找到二个海康的监控 admin/12345
http://192.168.12.201/doc/page/main.asp
http://192.168.12.202/doc/page/main.asp
不过貌似废弃? 监控头只有一两个
然后 没有然后了
到这渗透结束 期间发现万达的wifi认证页面 可以上传 不过php和jsp 不解析直接下载了
要不然或许还可以渗透到万达内网T_T

漏洞证明:

已证明

修复方案:

多在安全上上点心吧 我现在知道了为啥 你们客户的城市热点宽带认证系统数据库密码都是drcom

标签: none

评论已关闭