当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0162290

漏洞标题:车音网一处任意文件上传导致一次内网渗透+涉及到大量数据库+内网服务器沦陷

相关厂商:深圳市车音网科技有限公司

漏洞作者: 岩少

提交时间:2015-12-18 09:58

修复时间:2016-02-04 17:47

公开时间:2016-02-04 17:47

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-18: 细节已通知厂商并且等待厂商处理中
2015-12-22: 厂商已经确认,细节仅向厂商公开
2016-01-01: 细节向核心白帽子及相关领域专家公开
2016-01-11: 细节向普通白帽子公开
2016-01-21: 细节向实习白帽子公开
2016-02-04: 细节向公众公开

简要描述:

看到"天地不仁 以万物为邹狗"大神挖了个注入,跟随大神的步伐。我近一步的进行测试。
也看到这个厂商送礼物了。看看能给礼物不。。

详细说明:

1.首先我找到了一处上传文件"http://www.vcyber.com/manager/Upload_img"需要自己去构造。。

<form action="http://www.vcyber.com//manager/Upload_img" method=post name=myform 
enctype="multipart/form-data">
<input type=file name=uploadfile size=100><br><br>
<input type=submit value=upload>
</form>


根据上传得到一个shell

上传成功.png


我们看到,可以上传成功了,。。。
1.1我根据探测,找到了,上传文件的路径。。下面得到一个shell

拿到shell.png


2.你们感觉上面的已经完事了,不然。接下来我们开始内网去渗透。用反向代理即可。。首先呢内网渗透就得要收集好信息,我搜集了一下配置文件的。都是内网的。。

<!--mysql-->
<add name="Database.VcyberWebSite" connectionString="Server=10.32.5.1;UserId=v****er;Password=****pn;database=vcyber_website;" />
<!--sqlserver-->
<add name="ConnectionString" connectionString="Data Source=192.168.0.50;Initial Catalog=CMS;Persist Security Info=True;User ID=ne****8;Password=81****w;"/>
<!--oracle-->
<!--<add name="vCyberConnectionString" connectionString="User ID=vcyber3;Password=vcyber4r5tQW;Data Source=(DESCRIPTION = (ADDRESS_LIST= (ADDRESS = (PROTOCOL = TCP)(HOST = 192.168.0.54)(PORT = 1521))) (CONNECT_DATA = (SERVICE_NAME = laomo)));enlist=false;" />-->
<add name="vCyberConnectionString" connectionString="User ID=vc****3;Password=v****QW;Data Source=(DESCRIPTION =(ADDRESS_LIST =(ADDRESS = (PROTOCOL = TCP)(HOST = 192.168.0.54)(PORT = 1521))(ADDRESS = (PROTOCOL = TCP)(HOST = 192.168.0.210)(PORT = 1521)))(CONNECT_DATA = (SERVICE_NAME = laomo) (FAILOVER_MODE =(TYPE = SELECT)(METHOD = BASIC)(RETRIES = 180) (DELAY = 5) ) ) );enlist=false;" />


看到这些。根据自己探测了一系列的信息。感觉这个是站库分离的。我自己想了一下。难道所有的子站都会用站库分离么。直接开始动手测试。我首先连了一下MYSQL的连接,死活猜不出来ROOT密码。。。

连接到数据库.png


然并卵,特么的权限好低,猜了好长时间的root密码,都无果。。。。这下不怎么好办了。转过来我就看还有MSSQL的数据库啊。试试能不能连接。。。顿时眼前一亮。。

连接的.png


3.我们在来看下查询窗口。。

查询窗口.png


4.我直接建立一下账户,这回爽了。我就想登录3389在深入一些。。但是没给我这个机会啊。、

执行命令.png


根据端口探测,我就盯上了上面的一个Web服务。。。直接搞定了shell
http://192.168.0.50:88/ok.asp 密码:#

内网Getshell.png


直接Getshell。
直接在进入下一步。搜集信息======其实搜了很多。这大晚上的。我也不搞。凑乎凑乎得了。。

各种数据库备份.png


所有的数据库把.png


最后搞定服务器,看我如何搞定内网服务器的。。。

进入服务器.png


首先说下,这个1433密码是通用的。通用所有内网的机器。。。

哪了.png


这个错误很好修复的。。。

进入服务器2.png


其实上面的1433用户密码:newcarvp818 818carvpnew 管理直接打马赛克把。。。
然后又上一台服务器。。

111.png


222.png


什么都没有动。。。一晚上的时间。到此为止把。。
就搞定两台服务器。。没有深入的去搞。影响很多数据,以及内网安全。。。
审核大大,给打个雷不。。。写了这么长时间。。

漏洞证明:

哪了.png


这个错误很好修复的。。。

进入服务器2.png


其实上面的1433用户密码:newcarvp818 818carvpnew 管理直接打马赛克把。。。
然后又上一台服务器。。

111.png


222.png


什么都没有动。。。一晚上的时间。到此为止把。。
就搞定两台服务器。。没有深入的去搞。影响很多数据,以及内网安全。。。
审核大大,给打个雷不。。。写了这么长时间。。

修复方案:

内外网隔离把。。。。。
给送礼物不。。

版权声明:转载请注明来源 岩少@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2015-12-22 16:28

厂商回复:

谢谢发现漏洞,我们将及时修补。再次感谢!

最新状态:

暂无


漏洞评价:

评价

  1. 2015-12-18 09:59 | we8_ ( 普通白帽子 | Rank:130 漏洞数:21 | ⚡️)

    啧啧啧

  2. 2015-12-18 10:03 | 天地不仁 以万物为刍狗 ( 普通白帽子 | Rank:1211 漏洞数:335 | 万年小厂王)

    送个球

  3. 2015-12-18 10:13 | 势必1日脚踩乌云 ( 路人 | Rank:8 漏洞数:2 | 乌云的白帽子都是大煞笔乌云的白帽子都是...)

    呦呵 屌的阔以嘛

  4. 2015-12-18 10:14 | 岩少 ( 普通白帽子 | Rank:650 漏洞数:179 | 破晓团队)

    @we8_ 哈哈。。。

  5. 2015-12-18 10:14 | 岩少 ( 普通白帽子 | Rank:650 漏洞数:179 | 破晓团队)

    @天地不仁 以万物为刍狗 送个球也行啊。。

  6. 2015-12-18 10:34 | 天地不仁 以万物为刍狗 ( 普通白帽子 | Rank:1211 漏洞数:335 | 万年小厂王)

    @岩少 我纠正一下。。。。那个字念 chu 不是 zou 刍狗就是稻草编织的狗。。。。

  7. 2015-12-18 10:47 | 岩少 ( 普通白帽子 | Rank:650 漏洞数:179 | 破晓团队)

    @天地不仁 以万物为刍狗 我小学文化。。。。

  8. 2015-12-18 11:20 | 诚殷的小白帽 ( 实习白帽子 | Rank:44 漏洞数:25 )

    @势必1日脚踩乌云 势必1日脚踩乌云 这货是牛小帅 哈哈哈,不要怪我出卖你了

  9. 2015-12-18 11:33 | we8_ ( 普通白帽子 | Rank:130 漏洞数:21 | ⚡️)

    @诚殷的小白帽 貌似已经被封了。。。。

  10. 2015-12-18 13:50 | 盲降近进 ( 路人 | Rank:0 漏洞数:1 | 小白帽子)

    已被封