都邦保险某处弱口令可致信息泄露并漫游本地内网/外省内网/控制本地、外省核心路由器交换机

发表于 2015年07月18日
WooYun漏洞库

漏洞概要

缺陷编号：WooYun-2015-0127056

漏洞标题：都邦保险某处弱口令可致信息泄露并漫游本地内网/外省内网/控制本地、外省核心路由器交换机

漏洞详情

披露状态：

2015-07-18: 细节已通知厂商并且等待厂商处理中
2015-07-20: 厂商已经确认，细节仅向厂商公开
2015-07-30: 细节向核心白帽子及相关领域专家公开
2015-08-09: 细节向普通白帽子公开
2015-08-19: 细节向实习白帽子公开
2015-09-06: 细节向公众公开

简要描述：

光弱口令的机器上的服务就是几个重要服务。管理员真的要开始重视内网安全了
一个弱口令引发的悲剧，得到全球通密码，一个密码漫游大半个内网，涉及众多数据库服务器，此密码还可登录路由器，交换机，外省的交换机也可访问。严重怀疑这么大个公司是不是只有一个网管。话说保险是不是要交cncert

详细说明：

问题出在这里**.**.**.**:7001/console用weblogic/weblogic成功登录之后，deploy大马也顺利。难点在进内网的手段。这台机器不能访问外网，怀疑是在防火墙做了限制。

这样一来，使用lcx映射出来是不行的了netstat -an看一下端口

在bea的目录又发现了不止一个weblogic应用

这些正好对应了如上的端口，而且，这些都是弱口令，外网能访问，就用7802端口来做入口点。因为7802是https端口，没人使用（非常肯定），于是，进7801端口的weblogic应用，把https服务端口改成了7803

重启服务之后，7802端口没有占用。然后使用lcx把本机的3389端口映射到本机的7802端口

lcx -listen 33 7802<br>
lcx -slave **.**.**.** 33 **.**.**.** 3389

1 2	lcx -listen 33 7802<br> lcx -slave ... 33 ... 3389

结果成功了，我自己都不敢相信，这不是真的

登录之后，发现桌面有CRT，一打开居然是保存密码登录，而且是root

既然进内网就好说了，一大堆弱口令，各种服务都有，大家自行脑补全球通密码 dbic1234并不是每个机器都能登录，但是不能登录的机器一般都存在其他服务的弱口令，也懒得搞了部分全家福

以下是漫游至其他机器部分截图

说好的路由器呢？追踪一个外省的ip（这个可以扫描出来）

telnet登录试试吉林中心？

也就看了这几个，估计其他的网络设备也是差不多的数据一丝未动

漏洞证明：

这里顺便说下我理解的这个网络。北京是中心，外省通过专线连接进来，大概是这样，勿喷，毕竟是个人理解。如果网络的拓扑跟我想的差不多，那我只要在全国找一个能够接入内网的接入点（地级市网站，门市部，公司wifi，其他地市的wifi），不就又可以进来了？保监会统计对接系统**.**.**.**:7801/circreport/核心业务处理系统 **.**.**.**:7801/prpall/index.jsp再保险业务处理系统 **.**.**.**:7801/reins/销售管理系统 **.**.**.**:7801/sales/common/Login.jsp核保核赔系统 **.**.**.**:7801/undwrt/单证管理系统 **.**.**.**:7801/visa/理赔工作流系统 **.**.**.**:7901/claim/

修复方案：

你们懂的比我多。防火墙不要光限制端口，协议也限制下。各省之间ACL

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：12

确认时间：2015-07-2017:38

厂商回复：

CNVD确认所述情况，已经转由CNCERT向保险行业信息化主管部门通报，由其后续协调网站管理单位处置。

评价

2010-01-01 00:00 临时城管白帽子 | Rank:0 漏洞数:0)

好牛逼
2010-01-01 00:00 covertops 白帽子 | Rank:64 漏洞数:8)

吊吊的
2010-01-01 00:00 jsbba 白帽子 | Rank:0 漏洞数:0)

lcx -listen 33 7802
lcx -slave 127.0.0.1 33 127.0.0.1 3389
我觉得是不是你应该可以直接
lcx -tran 7802 127.0.0.1 3389
2010-01-01 00:00 DC3 白帽子 | Rank:149 漏洞数:14)

@jsbba 哈，原来还可以这么玩，长见识了。以前都没认真看使用说明的