江中集团内网沦陷（4个核心业务系统getshell+大部分系统拿后台+控16台IP超60个数据库迈10G数据）

发表于 2015年07月11日
WooYun漏洞库

漏洞概要

缺陷编号：WooYun-2015-0125713

漏洞标题：江中集团内网沦陷（4个核心业务系统getshell+大部分系统拿后台+控16台IP超60个数据库迈10G数据）

漏洞详情

披露状态：

2015-07-11: 细节已通知厂商并且等待厂商处理中
2015-07-13: 厂商已经确认，细节仅向厂商公开
2015-07-23: 细节向核心白帽子及相关领域专家公开
2015-08-02: 细节向普通白帽子公开
2015-08-12: 细节向实习白帽子公开
2015-08-27: 细节向公众公开

简要描述：

一个子系统SQL注入加上系统运维漏洞，导致整个内网沦陷，江中集团业务系统、人员信息、资金情况等等。。。。。被一览无余，完全操控!_!！！！这回必须是大礼包！！！

详细说明：

入口点：江中集团合同信息管理系统（**.**.**.**:8080/）SQL注入点：

**.**.**.**:8080/default.aspx

1	...:8080/default.aspx

POST数据：

btnLogin=%e7%99%bb%e9%99%86&txtPsd=123&txtUsername=kmqcmdxf&__EVENTVALIDATION=/wEWBALQgKq4DwKl1bK4CQKZ%2b7qdDgKC3IeGDCzo%2bZOi0rn057eTzxUOVz7kAp2HPD934VDz98I/a8uU&__VIEWSTATE=/wEPDwUKMjA1MzU5MTAxMWRkcxNcvDdeaaqhidoGQxoy5n0jwCupTF6ZyLgu0PITSY0%3d

1	btnLogin=%e7%99%bb%e9%99%86&txtPsd=123&txtUsername=kmqcmdxf&__EVENTVALIDATION=/wEWBALQgKq4DwKl1bK4CQKZ%2b7qdDgKC3IeGDCzo%2bZOi0rn057eTzxUOVz7kAp2HPD934VDz98I/a8uU&__VIEWSTATE=/wEPDwUKMjA1MzU5MTAxMWRkcxNcvDdeaaqhidoGQxoy5n0jwCupTF6ZyLgu0PITSY0%3d

步步深入---->>漏洞证明：

漏洞证明：

通过SQL注入点，拿下xp_cmdshell，可执行系统命令：

由此可推。。。getshell：

有了webshell只是一个开端，一看还拥有admin权限。。。这。。。没法提权了，看源码，看配置：

有了数据库连接信息，直接连上：

看看用表的信息：

好吧，明文密码，登录一个用户看看：

到此，这个小系统算是完全渗透进去了。-----------------------------------------------------------------觉得没什么东西，再看看系统，发现还部署有另外一个tomcat的系统（测了一下，疑似很老的没用的系统，tomcat6.0。。。），发现了一些非常有趣的配置：

tomcat的manager和host-manager登录用户名和密码，但是这个端口直接访问不了这个web服务，nmap扫一下，发现8081端口是可以用的，用这个试试？直接登录成功：

这儿可以直接部署war，看了一下已部署的，是一个ymlx（物流防窜系统），拿webshell：

老规矩，看配置，找数据库用户密码：

连上试试：

看看用记登录的表：

有个管理员，直接登录：

好多功能，没动，随便看了看：

到此，这个物流防窜管理系统也OK了---------------------------------------------------------------刚才nmap扫描的时候，还发现了8082端口可用，同样是tomcat的，用刚才8081的manager登录密码试试，成功：

这些部署的都是一些预算报销的app，webshell：

数据库配置信息：

完美连接：

到此，8082端口也拿下-------------------------------------------------拿下了这几个系统后，再想想，好像有很多地方都很类似。。。。密码完全相同！随便开个webshell，看了看IP，是192.168.0.*的内网，用burpsuite扫了一扫IP段**.**.**.**到**.**.**.**54的数据库开放和连接情况，结果是：数据库用户名：sa数据库密码：jzjtxxzx445522端口：1433数据库类型：sql server可连接IP：

**.**.**.**<br>
**.**.**.**<br>
**.**.**.**<br>
**.**.**.**<br>
**.**.**.**<br>
**.**.**.**<br>
**.**.**.**<br>
**.**.**.**<br>
**.**.**.**<br>
**.**.**.**<br>
**.**.**.**<br>
**.**.**.**<br>
**.**.**.**00<br>
**.**.**.**<br>
**.**.**.**

**.**.**.**<br>

**.**.**.**00<br>

**.**.**.**<br>

**.**.**.**

以上IP都可以连接，统计了一下，总共有大概60多个数据库，有一半是正在使用，差不多一半是以前的老数据库，数据量在10G以上！！！！！！！！江中集团现在正在使用的系统大部分的数据都是在这些数据库里面的，这。。。。。。。。。。。。。。。到此，内网的大部分数据库已获得完全控制权-------------------------------------------------------虽然拿下了集团的数据库，但是感觉前面getshell的那几个系统与数据库的相关性不是那么大，三个系统也就用了3个IP的几个数据库，还有好多数据库没用呢，于是。。。。。。找了找江中的其它系统--江中OA系统，他们有两个，一个老的，一个新的，老的肯定没用了，那就新的吧：也是tomcat，试试admin/jzjtxxzx445522组合，成功进入manager：

拿webshell：

拿数据库配置，这个数据库不在以上数据库内，密码有点小差别。。j改为了J：

完美连接，看看登录表：

进入admin看看，好多子系统功能，很多可直接访问：

功能太强大了，档案管理：

人事管理：

营销管家：

主数据管理：

到此，OA系统完美掌控---------------------------------------------------------随便看了看数据库，找到一个集团通信录系统，看看表：

登录后台看看：

至此，没有做更多系统的挖掘。-----------------------------------------------

修复方案：

SQL注入：过滤、转义、编码系统运维也是非常非常重要的，那么多系统，密码分开使用网站/数据库权限不要那么高

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：14

确认时间：2015-07-1314:55

厂商回复：

CNVD确认并复现所述情况，已经转由CNCERT下发给江西分中心，由其后续协调网站管理单位处置。

评价

2010-01-01 00:00 疯狗白帽子 | Rank:22 漏洞数:2)
江中草珊瑚含片
2010-01-01 00:00 Weiy、白帽子 | Rank:39 漏洞数:4)
江中健胃消食片
2010-01-01 00:00 Finger 白帽子 | Rank:748 漏洞数:95)
江中猴姑饼干
2010-01-01 00:00 浩天白帽子 | Rank:851 漏洞数:68)
江中乳酸菌素片
2010-01-01 00:00 牛小帅白帽子 | Rank:407 漏洞数:34)
@浩天怎么没雷
2010-01-01 00:00 北京方便面白帽子 | Rank:675 漏洞数:61)
江中牌痔康片
2010-01-01 00:00 管管侠白帽子 | Rank:1623 漏洞数:136)
江中牌脑残片
2010-01-01 00:00 偶米头发白帽子 | Rank:0 漏洞数:0)
江中牌巴西蜂胶
2010-01-01 00:00 临时工白帽子 | Rank:60 漏洞数:8)
江中牌跌停丸
2010-01-01 00:00 diskring 白帽子 | Rank:0 漏洞数:0)
江中牌避孕药
2010-01-01 00:00 小龙白帽子 | Rank:1634 漏洞数:152)
很不幸，你对我投资的公司下手了
2010-01-01 00:00 雷锋白帽子 | Rank:8 漏洞数:1)
江中牌避孕套
2010-01-01 00:00 cmwl 白帽子 | Rank:107 漏洞数:7)
@小龙误伤见谅
2010-01-01 00:00 小龙白帽子 | Rank:1634 漏洞数:152)
@cmwl 里面数据有没50万？
2010-01-01 00:00 cmwl 白帽子 | Rank:107 漏洞数:7)
@小龙远不止
2010-01-01 00:00 http://www.wooyun.org/corps/江中集团白帽子 | Rank:0 漏洞数:0)
你好，我是厂家，[email protected]，谢谢