泰山保险某系统多处漏洞导致内网漫游(沦陷多台重要服务器/重要资料泄露)

漏洞概要

缺陷编号:WooYun-2015-0129510

漏洞标题:泰山保险某系统多处漏洞导致内网漫游(沦陷多台重要服务器/重要资料泄露)

相关厂商:泰山保险

漏洞作者:wps2015

提交时间:2015-07-29 09:48

公开时间:2015-09-15 09:04

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签:

漏洞详情

披露状态:

2015-07-29: 细节已通知厂商并且等待厂商处理中
2015-08-01: 厂商已经确认,细节仅向厂商公开
2015-08-11: 细节向核心白帽子及相关领域专家公开
2015-08-21: 细节向普通白帽子公开
2015-08-31: 细节向实习白帽子公开
2015-09-15: 细节向公众公开

简要描述:

内网漫游

详细说明:

问题出在泰山保险主站:http://**.**.**.**多处sql注入:http://**.**.**.**/TSHBX/PortalContentInfo.aspx?ContentID=dee75e3b-e2e0-40bc-9de9-da16adf96726payload:

并且注入点为dba权限,直接os-shell成功,但是查看了一下ip为内网地址

所以这个地方必须得拿到shell才行。先读取iis的配置文件metabase.xml,很奇怪,没有找到网站路径。没办法只能利用dir指令去读盘,发现了好几处疑似网站目录,但是写成功后,无法访问成功,并且这几处目录里的文件有的在网站上可以访问,有的却不能访问,觉得很奇怪,终于在admin目录下发现了下面的一些文件,有的可以在网站目录下未授权访问

访问http://**.**.**.**/admin/ImportBasicData.aspx,发现可以上传文件

这里利用burp抓包上传后,会返回上传文件的物理路径

返回的物理路径在之前读盘时是不存在的,终于明白了这是站库分离的,但是数据库上有网站目录的一些备份(还是很幸运),拿到shellhttp://**.**.**.**/PublicForm/attachment/UploadExcels/a6a919f1-e642-41df-a796-5b4bf69c8792.aspx (Seayace)看了一下服务器版本win server 2008,直接上ms15-051提权成功,这个也是内网的ip,并且网段不同

lcx将端口转发出来,连上

先读取了本机管理员的密码,加到hscan的字典库里,进行扫描

多个ftp,服务器弱口令,由于太多以下只给出几个示例:**.**.**.**/ root 123456

**.**.**.** oracle oracle

由于站库分离,数据库的那个服务器直接拿下数据库服务器:**.**.**.**

ICBC控件服务器:**.**.**.** (弱口令)

服务器:**.**.**.** (弱口令)

漏洞证明:

多个敏感文件

修复方案:

各种修改

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-08-0109:03

厂商回复:

cnvd确信并复现所述情况,已经转由cncert向保险行业信息化主管部门通报,由其后续协调网站管理单位处置。按运行安全风险评分,rank 20

最新状态:

暂无

评价