都邦保险某处弱口令可致信息泄露并漫游本地内网/外省内网/控制本地、外省核心路由器交换机

漏洞概要

缺陷编号:WooYun-2015-0127056

漏洞标题:都邦保险某处弱口令可致信息泄露并漫游本地内网/外省内网/控制本地、外省核心路由器交换机

相关厂商:都邦保险

漏洞作者:DC3

提交时间:2015-07-18 01:35

公开时间:2015-09-06 00:00

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签:

漏洞详情

披露状态:

2015-07-18: 细节已通知厂商并且等待厂商处理中
2015-07-20: 厂商已经确认,细节仅向厂商公开
2015-07-30: 细节向核心白帽子及相关领域专家公开
2015-08-09: 细节向普通白帽子公开
2015-08-19: 细节向实习白帽子公开
2015-09-06: 细节向公众公开

简要描述:

光弱口令的机器上的服务就是几个重要服务。管理员真的要开始重视内网安全了
一个弱口令引发的悲剧,得到全球通密码,一个密码漫游大半个内网,涉及众多数据库服务器,此密码还可登录路由器,交换机,外省的交换机也可访问。严重怀疑这么大个公司是不是只有一个网管。话说保险是不是要交cncert

详细说明:

问题出在这里**.**.**.**:7001/console用weblogic/weblogic成功登录之后,deploy大马也顺利。难点在进内网的手段。这台机器不能访问外网,怀疑是在防火墙做了限制。

这样一来,使用lcx映射出来是不行的了netstat -an看一下端口

在bea的目录又发现了不止一个weblogic应用

这些正好对应了如上的端口,而且,这些都是弱口令,外网能访问,就用7802端口来做入口点。因为7802是https端口,没人使用(非常肯定),于是,进7801端口的weblogic应用,把https服务端口改成了7803

重启服务之后,7802端口没有占用。然后使用lcx把本机的3389端口映射到本机的7802端口

结果成功了,我自己都不敢相信,这不是真的

登录之后,发现桌面有CRT,一打开居然是保存密码登录,而且是root

既然进内网就好说了,一大堆弱口令,各种服务都有,大家自行脑补全球通密码 dbic1234并不是每个机器都能登录,但是不能登录的机器一般都存在其他服务的弱口令,也懒得搞了部分全家福

以下是漫游至其他机器部分截图

说好的路由器呢?追踪一个外省的ip(这个可以扫描出来)

telnet登录试试吉林中心?

也就看了这几个,估计其他的网络设备也是差不多的数据一丝未动

漏洞证明:

这里顺便说下我理解的这个网络。北京是中心,外省通过专线连接进来,大概是这样,勿喷,毕竟是个人理解。如果网络的拓扑跟我想的差不多,那我只要在全国找一个能够接入内网的接入点(地级市网站,门市部,公司wifi,其他地市的wifi),不就又可以进来了?保监会统计对接系统**.**.**.**:7801/circreport/核心业务处理系统 **.**.**.**:7801/prpall/index.jsp再保险业务处理系统 **.**.**.**:7801/reins/销售管理系统 **.**.**.**:7801/sales/common/Login.jsp核保核赔系统 **.**.**.**:7801/undwrt/单证管理系统 **.**.**.**:7801/visa/理赔工作流系统 **.**.**.**:7901/claim/

修复方案:

你们懂的比我多。防火墙不要光限制端口,协议也限制下。各省之间ACL

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-07-2017:38

厂商回复:

CNVD确认所述情况,已经转由CNCERT向保险行业信息化主管部门通报,由其后续协调网站管理单位处置。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 临时城管 白帽子 | Rank:0 漏洞数:0)

    好牛逼

  2. 2010-01-01 00:00 covertops 白帽子 | Rank:64 漏洞数:8)

    吊吊的

  3. 2010-01-01 00:00 jsbba 白帽子 | Rank:0 漏洞数:0)

    lcx -listen 33 7802
    lcx -slave 127.0.0.1 33 127.0.0.1 3389
    我觉得是不是你应该可以直接
    lcx -tran 7802 127.0.0.1 3389

  4. 2010-01-01 00:00 DC3 白帽子 | Rank:149 漏洞数:14)

    @jsbba 哈,原来还可以这么玩,长见识了。以前都没认真看使用说明的