记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

中石化内网某漏洞可导致内网漫游

2015-01-08 00:50

#1,github敏感信息泄露

https://github.com/duanshuaimin/zyyt/blob/70eb1010ab18118fd8940e9be2e928ccc58e6170/MobileActiveCheck.py

github.jpg





获取到相关URL地址以及账号、密码信息:

code 区域
https://3g.*****cn:1445/msp.do

wan****/qw***



#2,利用上述账号密码可登陆平台,并且站点存在s2-016漏洞,

ss2.jpg



desktop.jpg



应用界面有邮箱,小手一抖就点了一下,发现可以成功登陆

mail.jpg



由于是3g界面,看起来甚是不爽,百度一下中石化邮箱地址,可登进进去

mial-pc.jpg



一般exchange账号都是和vpn账号一致,于是便在地址栏键入中石化vpn地址,但是提示不让登陆,又搜了一下、看了一下,发现中石化每个区域有自己的vpn,百度搜索中原油田vpn,输入账号密码,成功接入中石化内网

vpn.jpg



#3,vpn接入内网,渗透便于切菜一样了

中原油田zabbix

zb.jpg





某SAP系统命令执行

sap.jpg





某物资采购网站

bg.jpg





财务公司

cw.jpg



...

...

...

漏洞证明:

弱口令轻轻一扫,服务器便是数不胜数

修复方案:

#1,删除github敏感信息

#2,vpn增加动态认证

#3,做好安全边界防护

#4,内网服务器一样需要更新

知识来源: www.wooyun.org/bugs/wooyun-2015-084442

阅读:137168 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“中石化内网某漏洞可导致内网漫游”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于垒土;黑客之术,始于阅读

推广

工具

标签云