当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-073661

漏洞标题:基础漏洞组合导致漫游哈尔滨师范大学内网

相关厂商:哈尔滨师范大学

漏洞作者: Ev1l

提交时间:2014-08-24 17:23

修复时间:2014-10-08 17:24

公开时间:2014-10-08 17:24

漏洞类型:网络设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-08-24: 细节已通知厂商并且等待厂商处理中
2014-08-26: 厂商已经确认,细节仅向厂商公开
2014-09-05: 细节向核心白帽子及相关领域专家公开
2014-09-15: 细节向普通白帽子公开
2014-09-25: 细节向实习白帽子公开
2014-10-08: 细节向公众公开

简要描述:

本来是对学校的安全监测 现在就发出来算了。

详细说明:

000x1,今天星期天朋友给我发了一个站,让我试试。。于是我就简单搞了一下
目标是www.hrbnu.edu.cn,大学一般都是有内网的。
我简单收集了一些信息,一般然后我喜欢用GOOGLE搜索注入点
http://jy.hrbnu.edu.cn这个二级域名有注入。是个帝国cms的站,管理员关闭的PHP错误,所以没找到路径,写不了shell,找到了PHPMYADMIN,于是就试试写UDF提权,随然没成功,但是把操作也记录下;
一,现看下版本,5.1以下可以将UDF写在c:\windows\system\目录下面

第二步,创建一个表。
第三步,插入HEX值的UDF.DLL
第四步。写入UDF到c:windows\system32目录
第五步。就是创建cmshell函数执行命令,但是没成功。为什么成功,我也不知道

1.jpg


000X2 (shell)
因为时间有限,所以就没有继续试其他方法了,所以我直接利用强大的谷歌找到了一个后台,然后通过爆破弱口令进去了,

1.jpg


然后我开始找上传点,
有了上传好办事啊,

1.jpg


过滤了文件名,试试BURP截断上传shell
截断上传成功,成功获取WEBSHELL一个。。

1.jpg


000x3
接下来,就是通过WEBSHELL获取系统权限
通过已经获得一句话webshell链接上菜刀,通过在菜刀里面寻找发现TOMCAT文件夹,看来支持JSP,

1.jpg


然后果断上传JSP大马,获取SYSTEM权限

1.jpg


000x4进入内网
不管怎么样,先把管理员读出来,上传gethash.读密码
通过解密知道管理员密码为hrbu_jwc03

1.jpg


因为是内网,所以需要做代理,或者转发才能进去。。。
用htran开代理没行,后来发现有防火墙,限制了出来端口,80没限制。于是就用lcx走转80出来。
《纠结一晚上》
成功进去

1.jpg


进到了图形化界面好操作啊,上工具扫描下弱口令啊

1.jpg


这么多弱口令,其实都是同一台机器,都不知道管理员配一台机子配那么多IP干嘛,明显傻帽。。。

通过sa弱口令连接目标主机加用户
登上看看
一台机器配这么多ip...也不知道服务器管理员怎么想的。。。。

1.jpg


然后继续,我用工具扫了这个段的大概环境
然后再发现又找到一台机器存在Fck漏洞
用exp 直接上传
成功拿到shell,读取这台机器管理员密码。。
。。。。。。。。。。。。因为很多地方没记录。所以省略很多步。。。。。看张图就行

1.jpg


搞了四台window机器。还有这台LIUNX好像是DNS服务器。。
思考and总结:虽然搞定了五台机器,但是没啥意思。。
1. 内网溢出,通过对内网的扫描情况,判断win2003的机器,利用ms08067进行运程溢出。
2. 内网web,通过内网的扫描,用sockscap上的ie来打开内网开放的web,在内网采用web注入或上传的方式来获取webshell提权。
3. 内网弱口令试探,利用经典的ipc,或是3389,和已掌握的密码信息来尝试猜解内网nt的密码,当然这需要耐心,也是非常有用的。
4. 猜解sql弱口令,在sockscap控制台中用sql连接器连接内网开放1433或是3306的机器,猜解弱口令。
5. 内网嗅探,不得已的办法,不推荐。
6. 内网主动会话劫持,篇幅长,难度高《暂时没研究》
下面图片是我对邮件服务器,OA服务器,文件服务器的踩点信息。。

1.jpg


我已经踩点好了,有时间在搞吧,好多地方没记录,这次写的比较乱,凑合看。。,睡觉累了。。
修补建议:1.你的防火墙没有完全配置好。允许web端口出来。
2.补丁要打
3.管理员太不负责任,经常不管理服务器。
4.内网太脆弱。我只是简单搞搞

注:友情检测,没有任何破坏。。。需要继续检测也可以。。。

漏洞证明:

000x1,今天星期天朋友给我发了一个站,让我试试。。于是我就简单搞了一下
目标是www.hrbnu.edu.cn,大学一般都是有内网的。
我简单收集了一些信息,一般然后我喜欢用GOOGLE搜索注入点
http://jy.hrbnu.edu.cn这个二级域名有注入。是个帝国cms的站,管理员关闭的PHP错误,所以没找到路径,写不了shell,找到了PHPMYADMIN,于是就试试写UDF提权,随然没成功,但是把操作也记录下;
一,现看下版本,5.1以下可以将UDF写在c:\windows\system\目录下面

第二步,创建一个表。
第三步,插入HEX值的UDF.DLL
第四步。写入UDF到c:windows\system32目录
第五步。就是创建cmshell函数执行命令,但是没成功。为什么成功,我也不知道

1.jpg


000X2 (shell)
因为时间有限,所以就没有继续试其他方法了,所以我直接利用强大的谷歌找到了一个后台,然后通过爆破弱口令进去了,

1.jpg


然后我开始找上传点,
有了上传好办事啊,

1.jpg


过滤了文件名,试试BURP截断上传shell
截断上传成功,成功获取WEBSHELL一个。。

1.jpg


000x3
接下来,就是通过WEBSHELL获取系统权限
通过已经获得一句话webshell链接上菜刀,通过在菜刀里面寻找发现TOMCAT文件夹,看来支持JSP,

1.jpg


然后果断上传JSP大马,获取SYSTEM权限

1.jpg


000x4进入内网
不管怎么样,先把管理员读出来,上传gethash.读密码
通过解密知道管理员密码为hrbu_jwc03

1.jpg


因为是内网,所以需要做代理,或者转发才能进去。。。
用htran开代理没行,后来发现有防火墙,限制了出来端口,80没限制。于是就用lcx走转80出来。
《纠结一晚上》
成功进去

1.jpg


进到了图形化界面好操作啊,上工具扫描下弱口令啊

1.jpg


这么多弱口令,其实都是同一台机器,都不知道管理员配一台机子配那么多IP干嘛,明显傻帽。。。

通过sa弱口令连接目标主机加用户
登上看看
一台机器配这么多ip...也不知道服务器管理员怎么想的。。。。

1.jpg


然后继续,我用工具扫了这个段的大概环境
然后再发现又找到一台机器存在Fck漏洞
用exp 直接上传
成功拿到shell,读取这台机器管理员密码。。
。。。。。。。。。。。。因为很多地方没记录。所以省略很多步。。。。。看张图就行

1.jpg


搞了四台window机器。还有这台LIUNX好像是DNS服务器。。
思考and总结:虽然搞定了五台机器,但是没啥意思。。
1. 内网溢出,通过对内网的扫描情况,判断win2003的机器,利用ms08067进行运程溢出。
2. 内网web,通过内网的扫描,用sockscap上的ie来打开内网开放的web,在内网采用web注入或上传的方式来获取webshell提权。
3. 内网弱口令试探,利用经典的ipc,或是3389,和已掌握的密码信息来尝试猜解内网nt的密码,当然这需要耐心,也是非常有用的。
4. 猜解sql弱口令,在sockscap控制台中用sql连接器连接内网开放1433或是3306的机器,猜解弱口令。
5. 内网嗅探,不得已的办法,不推荐。
6. 内网主动会话劫持,篇幅长,难度高《暂时没研究》
下面图片是我对邮件服务器,OA服务器,文件服务器的踩点信息。。

1.jpg


我已经踩点好了,有时间在搞吧,好多地方没记录,这次写的比较乱,凑合看。。,睡觉累了。。
修补建议:1.你的防火墙没有完全配置好。允许web端口出来。
2.补丁要打
3.管理员太不负责任,经常不管理服务器。
4.内网太脆弱。我只是简单搞搞

注:友情检测,没有任何破坏。。。需要继续检测也可以。。。

修复方案:

自己想

版权声明:转载请注明来源 Ev1l@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2014-08-26 15:35

厂商回复:

通知处理中

最新状态:

暂无


漏洞评价:

评论

  1. 2014-09-15 17:12 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    大牛扫弱口令的工具叫神马,看着挺高级的

  2. 2014-09-15 17:13 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    还有那屌炸的踩点信息采集的高科技

  3. 2014-10-01 19:59 | Ev1l ( 实习白帽子 | Rank:68 漏洞数:20 | 问题真实存在但影响不大。联系邮箱security...)

    @scanf 大黑阔不好意思刚看乌云 这个流光你都没用过啊……

  4. 2014-10-01 20:00 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    大哥我没用过...只用nmap-.-

  5. 2014-10-01 20:01 | Ev1l ( 实习白帽子 | Rank:68 漏洞数:20 | 问题真实存在但影响不大。联系邮箱security...)

    @scanf - -是啊 都已经十多年了 流光 xscan都是老一辈黑阔用来装B的

  6. 2014-10-01 20:05 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    不过也早就过神话啊.

  7. 2014-10-01 20:10 | Ev1l ( 实习白帽子 | Rank:68 漏洞数:20 | 问题真实存在但影响不大。联系邮箱security...)

    确实啊

  8. 2014-11-24 22:50 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    进到了图形化界面好操作啊