当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-064178

漏洞标题:友情测试科大讯飞系统#7(呵呵,再忽略以后就不会提了)

相关厂商:iflytek.com

漏洞作者: 无力落地の白

提交时间:2014-06-09 15:38

修复时间:2014-07-24 15:40

公开时间:2014-07-24 15:40

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-06-09: 细节已通知厂商并且等待厂商处理中
2014-06-10: 厂商已经确认,细节仅向厂商公开
2014-06-20: 细节向核心白帽子及相关领域专家公开
2014-06-30: 细节向普通白帽子公开
2014-07-10: 细节向实习白帽子公开
2014-07-24: 细节向公众公开

简要描述:

进入www.iflytek.com内网中。

详细说明:

先让我用个暴漫表达下我的心情。

0.jpg


开讲:之前进了你们好多分站,你们表示很淡定,所以我立志要进主站内网。所以我的目标定到了www.iflytek.com。
主站不过DNS域传送的漏洞,相信提了你们也会忽略,但是在这说下,你们自己让技术人员学习下。学习链接:http://www.wooyun.org/searchbug.php?q=DNS%E5%9F%9F%E4%BC%A0%E9%80%81

0.1.jpg


还是从主站入手,查查主站的旁站。

0.3.jpg


看到上面图 红色的网站。安徽省工商联。
其实我不大明白这个和讯飞有什么关联,但是经过ping,确定确实用了同一个公网ip。
目测他们是你的客户?(入侵是从这里的开始的,后面我会证明这和讯飞有很大关系,要是你真的觉得和讯飞没有关系,那就把这个漏洞转给cncert ,而你也千万别修复,让工商联修复,好嘛? ^ ^)
漏洞点:http://www.ahgcc.cn/siteserver/ siteserver3.5存在某漏洞,可以登录后台。上传shell,shell地址http://www.ahgcc.cn/sitefiles/temporaryfiles/contents/iis.aspx

0.4.jpg


具体什么漏洞,想知道的话就私信告诉你把,目测你们不感兴趣 哎,你们就当弱口令出来吧。。
拿到shell了以后 我们干嘛呢? 提权吗?权限确实不高。
Argument:
whoami
iis apppool\ahgcc.cn
怎么提呢? 本地溢出?目测2003还能秒杀了。然是systeminfo 看了一下
win2008 r2 X64 好家伙,我哪有这EXP啊。

数据库提权? netstat -an 一下 没有一个跟数据库相关的端口。
原来站库分离啊。来看看web.config

0.5.jpg


server=192.168.75.66;uid=sa;pwd=iflytek;database=ahgcc_new
终于,找到和讯飞的联系了,如果不是你们维护的,密码不应该这样吧?
192.168.75.66这台服务器有了sa权限,那么提权不就so easy的事情么。
可以看到很多数据库:

0.6.jpg


可以执行系统命令:

0.7.jpg


别担心,未做破坏性动作。
小结一下:到现在我们拿到了http://www.ahgcc.cn 内网ip(192.168.75.61)的webshell(权限较低) 和内网另外一台数据库服务器的system权限。
接下来,我们继续挖掘。查看这台服务器上还有哪些网站。

0.8.jpg


可以看出来,应该都是讯飞的客户。
再看看每个网站的web.config文件我就不截图 直接贴出来啦
server=192.168.82.188;User ID=devil;Password=devil;database=StatisticSystem
server=192.168.75.66;User ID=sa;Password=iflytek;database=IEPS
server=192.168.75.88;uid=sa;pwd=gf910)YZ;database=siteserver
server=192.168.75.66;uid=sa;pwd=gf910)YZ;database=huishang_gov
这样 理论上 又有两台服务器被攻破了,是不是?
哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈
其实前面都是铺垫。因为我的目标是
www.iflytek.com
showtime 机智的少年:

0.9.jpg


看到没。直接返回了 www.iflytek.com 的内网ip。192.168.75.28
到这 如果厂家还认为和讯飞无关的话,那就忽略吧 。。感觉不会再爱了。
再看思路
要渗透192.168.75.28 内网渗透肯定会简单很多,当然,我只是有一个shell做跳板,最好的 当然是获得个远程登录的跳板机,思路还是先提权入口服务器。http://www.ahgcc.cn
oh yeah 发现FZ。

11.jpg


利用FZ提权。
由于FZ在内网中,利用portmap端口转发14147 然后远程连接上去,添加 test账号 共享C盘。

2.jpg


准备端口转发出21号,端口,但应该是不可以的。
当我满心欢喜 ,公网ip 60.166.12.119 开放了21号端口时,却发现好像被。。。墙了。。
当当当。各位看官,到此结束啦,其实木有提权成功啦。 也不敢再继续深入下去了,
怕讯飞找我喝茶啊。。。。

漏洞证明:

上面说的很详细。
我觉得挺危险的。

10.jpg

修复方案:

1. 删除后门,防止删的不全,可以用工具扫描。比方说D盾。上次提供给你们了。
2. 升级siteserver到最新。(其实我也不知道最新是不是安全的。)
3。 修改各个密码。
4.给辛苦的白帽子个小礼物吧。。。听说讯飞有很多产品 啊 哇哈哈

版权声明:转载请注明来源 无力落地の白@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-06-10 17:24

厂商回复:

你好!感谢你的支持。漏洞我们已经重现并确认,目前已经安排修复。

最新状态:

暂无


漏洞评价:

评论

  1. 2014-06-09 15:40 | 乐乐、 ( 普通白帽子 | Rank:853 漏洞数:189 )

    看了下这厂商 很装x的回复~

  2. 2014-06-09 15:40 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    忽略的欢迎找乌云补

  3. 2014-06-09 15:41 | 计算姬 ( 普通白帽子 | Rank:398 漏洞数:90 | 看我看我看我啊)

    HR姐姐倒还是不错

  4. 2014-06-09 15:42 | 乐乐、 ( 普通白帽子 | Rank:853 漏洞数:189 )

    @xsser http://wooyun.org/bugs/wooyun-2014-061396 http://wooyun.org/bugs/wooyun-2014-061965 http://wooyun.org/bugs/wooyun-2014-061388 http://wooyun.org/bugs/wooyun-2014-061549

  5. 2014-06-09 15:45 | 无力落地の白 ( 实习白帽子 | Rank:48 漏洞数:19 | 新人)

    @xsser come baby 怎么补。 你看看 我之前友情测试系列 #1 到#4 看看值不值得补?反正洞洞是修补了。还有 #5忘记登录就发了 好尴尬。能纳到我这个ID么? WooYun: 友情测试科大讯飞已入内网#5 剑心大人 大人 大大人!明察!!秋毫!!

  6. 2014-06-09 15:45 | 无力落地の白 ( 实习白帽子 | Rank:48 漏洞数:19 | 新人)

    @计算姬 前台很漂亮。。。。。

  7. 2014-06-09 15:50 | 计算姬 ( 普通白帽子 | Rank:398 漏洞数:90 | 看我看我看我啊)

    @无力落地の白 没见过啊。po个图啊

  8. 2014-06-09 20:04 | 无力落地の白 ( 实习白帽子 | Rank:48 漏洞数:19 | 新人)

    @xsser 厂商找我要联系方式送礼物 不会要社工我吧? = = 能给么

  9. 2014-06-09 20:43 | 小怿 ( 路人 | Rank:29 漏洞数:6 | )

    @乐乐、 确实啊。。既然问题存在,因为他们自己未及时确认导致忽略然后细节公开公众了,还抱歉白帽子。。

  10. 2014-06-10 15:32 | 那个夏天骚年未老 ( 路人 | Rank:0 漏洞数:2 | 呵呵,呵,呵呵呵)

    面试的机会都不给,尼玛人家就要211 985

  11. 2014-06-11 10:13 | zinrokh ( 路人 | Rank:12 漏洞数:1 | 某安全公司小土鳖一只)

    X飞的安全专家 都是用阿d,穿山甲之类的大牛 ~

  12. 2014-06-11 10:25 | 计算姬 ( 普通白帽子 | Rank:398 漏洞数:90 | 看我看我看我啊)

    @那个夏天骚年未老 人家是上市公司,门槛肯定要高啊。不过安全做的不好就是他们的错了

  13. 2014-07-24 16:18 | CoffeeSafe ( 普通白帽子 | Rank:142 漏洞数:37 )

    真的很讨厌那些不重视漏洞的厂商~ 真恶心!

  14. 2014-07-24 16:39 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @无力落地の白 看了前面的,貌似你提交的狠多都被忽略了,真悲剧啊,加个qq号吧

  15. 2014-07-24 17:15 | 无力落地の白 ( 实习白帽子 | Rank:48 漏洞数:19 | 新人)

    @CoffeeSafe - -#

  16. 2014-07-25 10:58 | todaro ( 实习白帽子 | Rank:39 漏洞数:12 | 完结。)

    大神带我如何。。。。。

  17. 2014-07-25 12:50 | 无力落地の白 ( 实习白帽子 | Rank:48 漏洞数:19 | 新人)

    @todaro 菜鸡一枚

  18. 2014-07-25 17:29 | todaro ( 实习白帽子 | Rank:39 漏洞数:12 | 完结。)

    @无力落地の白 yer 完全正确

  19. 2014-07-25 17:32 | todaro ( 实习白帽子 | Rank:39 漏洞数:12 | 完结。)

    @无力落地の白 哎 我操 我以为你说我,如果是说我 完全正确,但是与你就不是这样了!!

  20. 2014-07-25 22:46 | 无力落地の白 ( 实习白帽子 | Rank:48 漏洞数:19 | 新人)

    @todaro 哈哈 我是我是

  21. 2014-08-19 02:25 | _July ( 路人 | Rank:0 漏洞数:1 | - 你是猴子请来的逗逼么.)

    求siteserver漏洞!!!