金融安全1#多个内网系统沦陷#工银瑞信基金某系统漏洞

漏洞概要

缺陷编号:WooYun-2015-0127246

漏洞标题:金融安全1#多个内网系统沦陷#工银瑞信基金某系统漏洞

相关厂商:工银瑞信基金管理有限公司

漏洞作者:system_gov

提交时间:2015-07-16 21:08

公开时间:2015-08-30 23:18

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-07-16: 细节已通知厂商并且等待厂商处理中
2015-07-16: 厂商已经确认,细节仅向厂商公开
2015-07-26: 细节向核心白帽子及相关领域专家公开
2015-08-05: 细节向普通白帽子公开
2015-08-15: 细节向实习白帽子公开
2015-08-30: 细节向公众公开

简要描述:

第一次来乌云交作业...
过来串门...

详细说明:

1.前话:在一次其他厂商的安全检测中,通过C段扫描意外发现这枚IP:219.143.245.149使用的weblogic中间件,默认端口

访问 http://219.143.245.149:7001/vm 接口参数测试

访问 http://219.143.245.149:7001/webtrade 当然是403 因为后面shell进去后发现这是一枚API接口调用程序2. shell:以常规方式上传.war文件进行部署,并没有成功,出现了无权限的错误信息...以为是没存在upload上传目录,果断修改部署路径 再次上传依旧发现权限错误看来得启用非常规手段了,查看其VM程序的部署路径为: 看下图

程序保存在这个目录...也就是说我只要上传一枚.jsp文件即可 看下图

依旧利用部署程序的那个上传点..上传文件即可顺利获取shell:http://219.143.245.149:7001/vm/jmxroot.jsp 密码:360butian(题外话...长期补天混习惯了,密码都懒得修改了)截图看权限

3. 还得确定厂商才行...开始了一段漫长的时间查找...过程中发现了很多敏感数据信息..什么支付接口..交易日志文件==直到发现了这...

但光是一个文件夹名字并不能确定...于是查询其官方站点 IP 没在一个网段...或许启用了啥CDN吧...无果...继续翻查文件 没任何确切信息能够证明是该厂商...使出奇招...访问同网段的相近IP...工银瑞信VPN 再结合之前的文件夹名称已挖了这么多金融系统漏洞经验确定为该厂商...不信去问厂商...https://219.143.245.152/

4. 确定厂商后...查找相关数据库信息的文件此处通过shell分析了大量文件..发现其中一些连接是废弃的 甚至测试系统的都不是暂时搁置...准备提权服务器5. 提权服务器由于之前看到的是administrator权限 顺利添加账号 进入服务器先看看有什么文件信息5.1 一大波日志文件...下载了一份看看,服务器太慢 是从oracle中导出的部分数据吧个人详细信息泄露...基金账号..地址..证件..电话==还请记得打上马赛克数据表格式...从命名就能看出字段意思了

一些交易请求 确认信息...恒生客服系统来的数据HS:恒生电子fundinfo:基金信息...其中基金代码..名称之类的AccoRequest: 交易请求类信息Confirm..:确认详细信息..订单编号 时间之类的不要问我为什么...因为本屌丝英语差不多4级以上 从其他金融系统学来的经验

5.2从管理员桌面文件入手...发现一枚数据库信息 事后证明 只是一份测试库 并无实际敏感数据还是截图证明下吧

5.3 尝试进入管理员账户query user 看了下管理员的时间...好几天没登陆系统了大白天的可以放心上去瞧瞧天公不作美...趋势杀毒网络版 有密码...mimikatz没法用了 可爱的阿D扫描工具也没法用...同时也验证了之前部署war文件权限错误问题,原来是被杀了上一个其他扫描工具IISputscan吧既然外网都能有weblogic弱口令...内网估计好不到哪去5.3.1 IP:4.88一枚通过web访问...发现又是一枚银行接口的测试系统此服务器已GG

5.3.2 IP:4.103又是一枚和外网系统一样的银行测试的系统此服务器已GG

5.3.3 IP:4.101 同上所述特意查看了集群设置...并没有发现相关集群服务

5.3.4 IP 4.125 同上,不过这台貌似看到了etrade 交易系统有交易系统的自然不能放过...肯定是会有数据库服务的bingo今天诸事不顺...碰到了趋势这个鬼,被杀的片甲不留

数据库信息:从命名来看...测试库? 依旧不能放过任何信息 进去看看有没有测试数据

由于杀软原因没能进入到此服务器,只传了一枚文件管理的shell从提权的服务器ping 数据库IP 正常 那就在本机上编辑oracle侦听文件进行连接吧从测试数据库中侧漏了2.1W枚个人信息

5.3.5 IP:4.72:7002端口

总结:1. 运气不行...有强劲杀软2. 所到之处尽是测试系统3. 本次侧漏数据为2.1W条+OFD库导出的文件(具体多少没输过)危害总结:1. 服务器不应随意存放相关日志文件及其他敏感信息文件2. 尽管是测试系统,也应当做正式系统来对待,不然就算是测试数据文件分分钟都可以干掉所有文件3. 从网络安全方面讲,接入层网络安全配置不够严格,可进行网关欺骗来进行嗅探内网数据包4. 严格控制对外业务的端口开放,不能把大门开着...又不是北京欢迎您...5. 从测试数据库来看,账号权限设置不到位,可跨账号查询数据检测到此为止...无修改/删除/窃取 任何信息文件 以上截图只为证明漏洞存在使用

漏洞证明:

细心观察...耐心分析...总会有意想不到的惊喜给你

修复方案:

管理员看着办...

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-07-1623:16

厂商回复:

感谢system_gov,漏洞的产生是由于测试环境管理员未遵守配置基线,网络管理员在开放防火墙时未限制源地址导致。
我们将紧急修补该漏洞,进一步提高运维水平。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    NB。

  2. 2010-01-01 00:00 浩天 白帽子 | Rank:851 漏洞数:68)

    我喜欢!

  3. 2010-01-01 00:00 咚咚呛 白帽子 | Rank:231 漏洞数:24)

    求工银的别挖了,他们事超多,求别挖!

  4. 2010-01-01 00:00 system_gov 白帽子 | Rank:38 漏洞数:4)

    @咚咚呛 楼主是工银的么...

  5. 2010-01-01 00:00 小思 白帽子 | Rank:0 漏洞数:0)

    金融安全1

  6. 2010-01-01 00:00 Bison 白帽子 | Rank:10 漏洞数:1)

    楼主的战场从补天转到wooyun啦,持续关注