当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-041895

漏洞标题:中国钢铁商城任意文件上传泄漏内部敏感数据

相关厂商:中国钢铁商城

漏洞作者: 在路上

提交时间:2014-05-19 19:12

修复时间:2014-07-03 19:12

公开时间:2014-07-03 19:12

漏洞类型:文件上传导致任意代码执行

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-05-19: 细节已通知厂商并且等待厂商处理中
2014-05-24: 厂商已经确认,细节仅向厂商公开
2014-06-03: 细节向核心白帽子及相关领域专家公开
2014-06-13: 细节向普通白帽子公开
2014-06-23: 细节向实习白帽子公开
2014-07-03: 细节向公众公开

简要描述:

某在线交易商城存在任意文件上传漏洞

详细说明:

中国钢铁商城 在线交易平台 jboss更新不及时,导致任意文件上传
漏洞页面:
http://www.steel-mall.com//invoker/JMXInvokerServlet jboss漏洞
直接利用exp(下载地址: http://buchedan.org/download/jboss-exploit.zip)获得webshell,此过程略。
可以参考: WooYun: 中国电信某站点JBOSS任意文件上传漏洞
对于web系统来说,最重要的不是服务器,而是数据库,因此找到数据库配置文件,获得数据库用户名和密码:

1.jpg


Oracle数据库。连接数据库

2.jpg


直接就是dba权限的,又是一台服务器。
查一下所有表中,有PASS开头的表

3.jpg


4.jpg


这个名字好像很熟悉。不知道是不是重名,出于好奇,想看看信息。

5.jpg


可以破解,使用用户名登录系统。

6.jpg


前面就不看了,就看一下钱好了

7.jpg


钢铁好多money,当年入错行,否则我也卖钢铁

8.jpg


近4w条记录。数据不算多,不继续看了。
这个站点可以在线交易,个人感觉信息,还是很重要的。从注册页面
http://124.160.106.43/memberReg.do
可以看出:

9.jpg


注册时,需要输入一些重要信息,如:

10.jpg


对应银行信息

11.jpg


主要为了突出信息的重要性。求通过。
站点基本上,就这样了,总是感觉不够通过的,因此继续研究一下内网渗透。
进行一下信息采集。

12.jpg


13.jpg


内网ip,管理员权限,那么是否可以渗透内网的所有机器呢。
如果进行内网测试,一般就要上内网扫描器了,但是很多扫描器都是图形界面的,因此就需要登录到服务器。而本服务器是内网ip,就需要转发出来,才能登录,这样就导致很麻烦,而且网速什么的,受到很大限制,不太稳定。
在一种进行内网测试,那就是在命令行下的,这就非metasploit莫属了,因为它继承了世界大牛的精华,小弟刚刚开始学习,还在入门级别徘徊,但是也愿意与大家分享一些简单的使用方法。
Metasploit必须要建立一条网络连接,才能发挥它的作用,此时我已经获得webshell。因此,就需要建立一个payload连接上即可。但是由于目标服务器是内网ip,我的msf也是内网ip,怎样建立连接,就需要找一个公网ip进行转发,这个其实很容易,如果没有做过的,请参考以前的一点学习记录:http://www.buchedan.org/post/11.html

14.jpg


获得meterpreter
由于已经是管理员权限了,因此,直接hashdump,可以用户的hash值

15.jpg


接下来,为了扩大战果,就需要继续进行内网渗透了。但由于目标是内网,就需要添加路由,这个也是msf最强大的地方,方便制作跳板。
首先获得目标站点ip

16.jpg


说明添加好了。
首先判断一下,获得的密码是否通用。
将meterpreter后台运行(background)

17.jpg


调用smb_login进行hash传递。
但是并非每次测试都那么顺利,发现获得的密码,只适合本机器

18.jpg


19.jpg


这个网段有这几个ip.
先来看一下数据库的机器,因为已经是dba权限了。是内网的,先做一下映射

20.jpg


可见,映射成功了,而且是dba权限。通过创建java源等操作,最终可以执行命令,参考:http://www.buchedan.org/post/13.html

21.jpg


22.jpg


原来不是每个机器都是Guanliyuan是用户名。莫非可以搞到域管理?
很蛋疼,先添加一个管理员。

23.jpg


这样就获得了数据库机器的管理员权限。怎样连接呢,在回到meter中,让其后台运行,使用psexec模块,设置如下:

24.jpg


25.jpg


发现这两个机器就是无法连接的。这些有些蛋疼。

漏洞证明:

没有办法,只能登陆上服务器看看:

26.jpg


27.jpg


原来上面有vnc 而且记录里面连接的目标ip是9.110.1.207:5901 在看一下数据库机器,也开启了5901 因此可以猜测,与数据库端口一样,9.110.1.207:5901是数据库机器的5901的映射,因此查询获得数据库机器的vnc密码:

28.jpg


密码:
F0E43164F6C2E3739460781D0FC7CFF3 破解:123456789
登陆后发现系统已经注销,因此
使用刚才创建的用户名和密码登陆

29.jpg


登录成功
太卡了就不继续了。
当然本次测试不算成功,还有很多机器没有渗透进去,由于时间关系,就到这里了,同时也可以看出,一次成功的测试,真的是很不容易,如果运气好,可能几分钟,运气不好可能几天几年。。。。

修复方案:

证明来过:
http://www.steel-mall.com/myname/index.jsp

版权声明:转载请注明来源 在路上@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2014-05-24 12:59

厂商回复:

最新状态:

暂无


漏洞评价:

评论

  1. 2014-01-28 19:19 | sec_jtn ( 普通白帽子 | Rank:134 漏洞数:56 | 本想无耻的刷rank,最后发现是我想太多了。...)

    洞主辛苦了,上传这么多张图,很有耐心,厂商回应有点帅

  2. 2014-02-08 23:17 | 在路上 ( 普通白帽子 | Rank:193 漏洞数:13 | 在学习的路上、在成长的路上...)

    @sec_jtn 呵呵 就是做个记录 方便以后回来再看看

  3. 2014-02-09 10:01 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    很不错的一次渗透测试过程。mark一下了

  4. 2014-05-19 18:59 | 在路上 ( 普通白帽子 | Rank:193 漏洞数:13 | 在学习的路上、在成长的路上...)

    @梧桐雨 @疯狗 为啥不给1 2个rank 表示一下 呵呵

  5. 2014-05-19 19:12 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @在路上 漏洞提交给cncert了,稍后会有rank~

  6. 2014-05-19 19:37 | 在路上 ( 普通白帽子 | Rank:193 漏洞数:13 | 在学习的路上、在成长的路上...)

    @疯狗 哦 谢谢

  7. 2014-07-04 13:38 | _Evil ( 普通白帽子 | Rank:418 漏洞数:59 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    洞主 我很欣赏你

  8. 2014-07-06 16:18 | 在路上 ( 普通白帽子 | Rank:193 漏洞数:13 | 在学习的路上、在成长的路上...)

    @_Evil 猪 搞基么