漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0136454
漏洞标题:链家某站由一个弱口令导致一次简单内网漫游(修复不彻底)
相关厂商:homelink.com.cn
漏洞作者: PythonPig
提交时间:2015-08-24 12:04
修复时间:2015-10-09 14:26
公开时间:2015-10-09 14:26
漏洞类型:未授权访问/权限绕过
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-08-24: 细节已通知厂商并且等待厂商处理中
2015-08-25: 厂商已经确认,细节仅向厂商公开
2015-09-04: 细节向核心白帽子及相关领域专家公开
2015-09-14: 细节向普通白帽子公开
2015-09-24: 细节向实习白帽子公开
2015-10-09: 细节向公众公开
简要描述:
链家某站由一个弱口令导致一次简单内网漫游(修复不彻底)
详细说明:
听说链家换了新的运维,看了下以前的漏洞,修复的修复,下线的下线,网站安全水平提高了不少。不过人都有惰性,再检查一下特别的地方。
前两天本想简单在http://119.254.70.128这个站测试下字典的,就在以前的漏洞中找了几个用户名,还真有不少弱口令。Wooyun搜索了一下这个站,以前爆过漏洞,看到以前注入、上传等各种问题,手贱测试了下,上传没成功,手工没注入时,返回是下面的样子,看来是都修复了啊。
在上图中可以清楚的看到是如何修复的,又测试了几个wooyun以前爆出的漏洞(大多是类型UniqNo的注入),都是按相同的方式修复了。
后来又蛋疼登陆到了一个账号,10009541:123456,发现登陆后可操作的内容不同啊,几个账号对比了一下,这个原来是个主管啊,这个时候就觉得,运维同学是不是把一般操作的漏洞修复了,这种特权人士的特权操作是不是还会存在问题?
主管的权限是大些啊,可以修改、查看他人各种信息。
随便找了个点测试下,如下图在讲师信息管理模块,搜索框存在注入啊。
丢sqlmap里,一会再来看,如下图
有注入,不急着跑数据,先看看权限,MSSQL,DBA权限,再看看xp_cmdshell是否可用,发现可用,那想到直接写文件吧,write-file过程中,连接很不稳定,而且执行很慢,最后也没写成功。干脆直接点,os-shell,原谅我的暴力~~虽然执行的也非常慢,但最终还是可以执行命令了。
查看权限
绝对路径从哪里来?方法太多了,各显神通吧,通过以前的漏洞,也可以通过下面的图,我还是觉得这样简单:
os-shell执行命令吧:
测试是否写成功了,访问不存在的文件时
访问刚上传的马儿时
写入成功,上刀,拿到webshell了
看了看网络配置,内网
想着连3389看看吧,拿出reDuh简单试下。端口反弹回来了,结果想起来没有账号~~~,权限不够添加用户,看了下系统信息:Windows Server 2008 R2,一下就想到了这个系统有几个可以提权的漏洞,无奈手上没有exp,网上找了几个,都提权失败,看来这系统还是修复过了吧。
突然觉得我的脑袋小时候被驴踢过,webshell权限不够,干嘛非要在这里吊死?MSSQL的权限可以够的啊,还是直接暴力的使用os-shell,虽然没有回显,但是简单用下还是可以的。添加用户、提升权限。
然后使用reDuh,虽然慢了点,在win下还用还是很方便的。
顺利登陆,简单的证明下,坏事没干,为便于审核测试,账号没删,请自行删除。admin:admin123
已经是内网了
再看看能不能渗透下其他内网机器,这个webserver本身就有内网ip,看来有戏。reDuh感觉还是有点慢,用reGeorg试下,上传tunnel.aspx,连接,用nmap简单的扫了下172.16.5.0/24,然后又看了下以前的漏洞,发现172.165.0.0/21范围内的都可以访问。
点到为止吧。
另外,http://119.254.70.128首页登陆的地方存在万能密码没有修复
漏洞证明:
见 详细说明
修复方案:
版权声明:转载请注明来源 PythonPig@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2015-08-25 14:24
厂商回复:
确认,谢谢。
最新状态:
暂无