怎么搞的呢?==!
http://218.107.6.142:7777/
弱口令admin/123456 test/123
两个都是管理员账户,权限非常大
(证明一下ip的归属公司)
em1 Link encap:Ethernet HWaddr F8:BC:12:4E:E8:34
inet addr:10.45.47.91 Bcast:10.45.47.255 Mask:255.255.255.0
inet6 addr: fe80::fabc:12ff:fe4e:e834/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1187328693 errors:0 dropped:0 overruns:0 frame:17
TX packets:1200637718 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:323269515666 (301.0 GiB) TX bytes:345930600004 (322.1 GiB)
Interrupt:35
em2 Link encap:Ethernet HWaddr F8:BC:12:4E:E8:35
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Interrupt:38
em3 Link encap:Ethernet HWaddr F8:BC:12:4E:E8:36
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Interrupt:34
em4 Link encap:Ethernet HWaddr F8:BC:12:4E:E8:37
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Interrupt:36
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:532632463 errors:0 dropped:0 overruns:0 frame:0
TX packets:532632463 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:353491851181 (329.2 GiB) TX bytes:353491851181 (329.2 GiB)
virbr0 Link encap:Ethernet HWaddr 52:54:00:9E:7C:3E
inet addr:192.168.122.1 Bcast:192.168.122.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:24309 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:1120720 (1.0 MiB)
本机ip是10.45.47.91,本机活着的web应用就有18个
基本上每个端口对应一个应用,weblogic,tomcat等等
应用管理界面,可远程部署war包,上传文件等操作
远程管理应用,翼推微商城,好像没听说过,不过涉及到支付中心,订单什么的,影响应该不小
更牛的一个功能是可以远程执行命令,可以远程shell,怎么做可以见这里,不演示
http://www.secpulse.com/archives/2166.html
服务器管理界面,10台服务器ssh,账号密码(可以代理进入内网,直接管控服务器)
各个服务器上的应用,一目了然
项目配置管理界面泄露了多个数据库账号,还有好几个,只演示三个
我能说所有用户都是弱口令吗?
说一下getshell,多种姿势:weblogic后台弱口令,上传,java反序列化。
http://218.107.6.142:7777/console/
weblogic后台弱口令
weblogic/weblogic123
其他的也是弱口令,建议好好排查一下
http://218.107.6.142:8008/console/
任意文件上传得到shell
http://218.107.6.142:7777/attach/da.jsp
java反序列化
内网渗透没条件,到此结束了
解决方案:
修改密码,加强员工安全教育
反序列化可以参考网上的一些方法,或者drops中的。修复weblogic的弱口令,多个端口应该都可以登陆的,没有一个个测试
http://drops.wooyun.org/web/13470
上传如果可以的话验证一下上传内容,或者强制更改名字