找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 3026|回复: 0
打印 上一主题 下一主题

从某知名厂商MIS软件逻辑缺陷谈对某工控网络的渗透

[复制链接]
跳转到指定楼层
楼主
发表于 2022-3-31 04:00:52 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

简要描述:

该篇案例比较详细,图也比较多,下面如果有什么口胡的地方就略了吧(技术水平有限),以下敏感信息均已打码,相关系统信息将会私信给cncert。
喜欢工控安全的筒子们可以多多交流

详细说明:

SyncPlant是为南京科远自动化集团股份有限公司为发电企业量身打造的智能一体化信息系统解决方案,完美整合生产管理、设备资产、经营管理、人力资源、行政综合、实时监控(SIS)、工程项目(基建MIS)KKS编码等业务管理系统为一体。以下测试版本根据反馈结果为SyncPlant V4.0。

0.jpg


7_1.jpg


漏洞证明:

1,远程web登录

1.jpg


2,未登录状况下多个页面可以匿名访问,下面以用户列表举例,如图

2.jpg


3,查询后可列出所有用户名,点重置密码后可以重置任意用户密码为初始密码888888

3.jpg


3_1.jpg


4,提示成功后返回登录界面工号即登录用户名,使用初始密码即可登录

4.jpg


5,该平台功能比较强大,功能也相当多,再加载ocx后可查看各个生产线的实时运行状态,找到文件上传处即可上传任意文件得到网站的shell

4_1.jpg


6,以当前测试服务器的环境来说网络环境位于内网,远程桌面没开,系统装有pcanywhere11.5,被控端启用TCP,监听默认5631端口,尝试下载pcanywhere的.cif密码文件解密后只得到用户名administrator密码无,之后发现系统设置了自动登录并读取到了登录密码,lcx转发5631端口后,本机使用拿到的密码成功登录测试服务器

5.jpg


7,Syncbase同为科远旗下一款优秀的应用于工业环境的实时/历史数据库,类似上第5条图所述实时监控数据都来自于实时数据库从下端DCS RTU PLC等设备采集上来的

6.jpg


8,图中Syncmb用来读取DCS或其他控制设备的I/O测点数据并采用Modbus协议将采集数据进行转发

7.jpg


8.1,此处我们添加一个名叫test的模拟量,设置驱动,连接地址,扫描周期以及功能码外加寄存器地址,添加成功后我们看到成功采到了数据,然后客户端进行连接测试

9.jpg


10.jpg


8.2,寄存器地址和功能码,设备地址,数据长度匹配后,客户端成功采到数据,这里值得一提的是,类似如果我们添加一个可读写的输入开关量,对点的数据进行下置,就该环境而言在上位机与下位机之间没有安全设备,进行转发隔离过滤的话,你懂的

11.jpg


9,再就当前测试环境来看,下位DCS等控制设备通过网闸与上位SIS相连,而根据网闸不同的设置一般只允许从DCS向SIS发送数据。

13.jpg


10,根据测试系统确认了该环境使用了SysKeeper-2000,配置网闸需要连接串口(http://wenku.baidu.com/view/60451ca0284ac850ad024286.html),因为无网闸管理软件未继续深入,最后通过超级终端确认了串口连接情况。

14.jpg


11,以及内网多台重要业务服务器密码整齐划一,安全风险极高

15.jpg

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表