当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0102569

漏洞标题:京信通信某分站权限绕过导致Getshell(进一步可导致整域沦陷)

相关厂商:京信通信

漏洞作者: CapsLk

提交时间:2015-03-22 16:32

修复时间:2015-05-07 17:12

公开时间:2015-05-07 17:12

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-22: 细节已通知厂商并且等待厂商处理中
2015-03-23: 厂商已经确认,细节仅向厂商公开
2015-04-02: 细节向核心白帽子及相关领域专家公开
2015-04-12: 细节向普通白帽子公开
2015-04-22: 细节向实习白帽子公开
2015-05-07: 细节向公众公开

简要描述:

某分站权限绕过,导致Getshell,进一步导致整域沦陷

详细说明:

从主站的链接发现了
http://www.comba-telecom.com
发现和主战架构相同,包着试试的想法,对网站进行了目录猜测
http://www.comba-telecom.com/ckfinder/ckfinder.html
ckfinder没有验证,利用IIS6.0解析漏洞拿下webshell,已经删除
主战http://www.comba.com.cn同样存在这个漏洞,但由于是IIS7.5无法利用

1.PNG


没事继续,从web.config中找出数据库密码,得到
admin 2342mktg
其中admin账号在www.comba.com.cn的后台也可以登录。可以随意修改内容
ipconfig了一下发现在一个域环境中,兴趣就来了
搜集了一些信息后,发现可以访问的网段也挺多,从磁盘目录中没有获得更多的信息后,便想着提权,抓取密码
找SA 还有常见的提权工具无果后,发现安装了serv-u
papapa,
system权限
上gsec抓取密码后

QQ截图20150319212326.png


呵呵,作为服务账号的赛门铁克备份账号在上面(应该是服务需要)
该账号同时还是域管理员权限,然后就是papapa
种马 抓hash随你开心了
后来又发现了另外一个域combacn.com应该是国内的域,刚拿下的是国外的域,就不继续进行了,应该可以进一步渗透到国内的域

漏洞证明:

1.PNG

QQ截图20150319212326.png


插点域账号密码

mask 区域
*****00000000000000000000000:d9*****
*****00000000000000:2baa706*****
*****00000000000000:2baa706*****
*****00000000000000:2baa706*****
*****44f5da702b83e:fe18328*****
*****ad3b435b51404ee:31d6cfe*****
*****aad3b435b51404ee:3207f1*****
*****eeaad3b435b51404ee:86bc7*****
*****dc2a20cae7226e17d:644827*****
*****31068f8d7b3e22bff:a6d658*****
*****223e03e456b:fb209ac33*****
*****e911bb32346d7:ad4d588*****
*****13b4a1a5e3a0:a830b28be*****
*****0d896b7a46:349619b105*****
*****35b51404ee:408e5b1a51*****
*****3b435b51404ee:0fca376*****
*****4fc74d94e2508:9c67e80*****
*****6a9d4896b699:7c814a35d*****
*****35b51404ee:cd458349ca*****
*****7a718ccdf409:6a5f1ae6*****
*****3b435b51404ee:66e2da28*****
*****aad3b435b51404ee:13f3a9*****
*****009c4df5f1a3:612ffe80*****
*****eaad3b435b51404ee:a1799*****
*****a3293831d17:4461997dc*****
*****eeaad3b435b51404ee:a143*****
*****435b51404ee:58d5d50c8*****
*****b435b51404ee:3c5bf037*****
*****e170b0a2a135:cc0cd29cc*****
*****3b435b51404ee:f7e6477*****
*****e170b0a2a135:cc0cd29c*****
*****514d7331c7d:015765a41*****
*****ad3b435b51404ee:f17997*****
*****a7ef37043cd6:f29bd3e2*****
*****060d896b7a46:2dbe8103f*****
*****7bb2dffdea405:caaf2bb*****
*****b435b51404ee:8ad8fe4b*****
*****4ead6c9eb077:8a435d107*****
*****435b51404ee:617f7e639*****
*****eeaad3b435b51404ee:b850*****
*****d3b435b51404ee:f925adf*****
*****eeaad3b435b51404ee:b6ec1*****
*****0875f8f227f04:c196b4c5*****
*****10a933d4868dc:ac16eb1*****
*****b435b51404ee:3c369196c*****
*****3b435b51404ee:289127a*****
*****818381e4e281b:28d328ba*****
*****435b51404ee:079e65cc6*****
*****06d9775d9ceb:b2ead579*****
*****6abbdfb9cdea51:1ff7d18*****
*****99c5014ae4718a7ee:f7738*****
*****5ffdba980235:8656713f*****
*****435b51404ee:b899da00f*****
*****99c5014ae4718a7ee:f7738*****
*****e170b0a2a135:cc0cd29c*****
*****e0c8d76954a50:e9404dc*****
*****718ccdf409:87e694f8df*****
*****b435b51404ee:ac077ae7*****
*****4c60fa8ac8477:e7f4c430*****
*****a818381e4e281b:7445a5f*****
*****65b23734e0dac:490ea795*****
*****18f5e59dd23a:733f31ce8*****
*****0e8b8ad6339adf:7dd5b8d7*****
*****7520ba8e0a033e:5a97ed54*****
*****35b51404ee:f85020dcb*****
*****a514d7331c7d:c5a30d6a*****
*****35b51404ee:66451fd17b*****
*****447f6d02bea97836:19b5f2*****
*****3b435b51404ee:8751840*****
*****4710799fd166cbcc:927dc7*****
*****963d369c45249:48075be*****
*****3662b97ebed58:f10ccf86*****
*****b435b51404ee:68365827*****
*****525ad3b83fa6627c7:45994*****
*****18f5e59dd23a:7b144114d*****
*****2663e11cd7e7f6092c:df37*****
*****279fff44bf90:00ccbeee4*****
*****eaad3b435b51404ee:86bc7c*****
*****435b51404ee:58a478135*****
*****9293942509f0:657443c6*****
*****4eeaad3b435b51404ee:19b5f*****
*****eeaad3b435b51404ee:b899d*****
*****5f36030673dd:ee6b0afd9*****
*****b435b51404ee:9d4a5874*****
*****4eeaad3b435b51404ee:a1b83*****
*****b435b51404ee:973299ad*****
*****d0279963575ff2d48:8707ab*****
*****637f814e58:96b44253e0*****
*****610dd89d4c:30f6aba84e*****
*****8f5e59dd23a:c26684c27*****
*****060d896b7a46:f4c996f4*****
*****745b8bf4ba6:eca5e87c0*****
*****6425ad3b83fa6627c7:47011*****
*****e23a0d809424a913b33:640b0*****
*****b51404ee:3d20437d2e91d8b*****

修复方案:

未做任何破坏,一些操作只是验证漏洞,shell以删,自查以前是否有人留shell
Web放在DMZ,不要能访问这些关键的网段
ckfinder要加验证,最好就换成IIS7以上,防止解析漏洞
上传目录取消执行权限
等等

版权声明:转载请注明来源 CapsLk@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-03-23 17:11

厂商回复:

多谢CapsLk的提醒,已通知相关人员进行漏洞修改

最新状态:

暂无


漏洞评价:

评论

  1. 2015-03-22 16:40 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    这个有意思