漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-064178
漏洞标题:友情测试科大讯飞系统#7(呵呵,再忽略以后就不会提了)
相关厂商:iflytek.com
漏洞作者: 无力落地の白
提交时间:2014-06-09 15:38
修复时间:2014-07-24 15:40
公开时间:2014-07-24 15:40
漏洞类型:文件上传导致任意代码执行
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-06-09: 细节已通知厂商并且等待厂商处理中
2014-06-10: 厂商已经确认,细节仅向厂商公开
2014-06-20: 细节向核心白帽子及相关领域专家公开
2014-06-30: 细节向普通白帽子公开
2014-07-10: 细节向实习白帽子公开
2014-07-24: 细节向公众公开
简要描述:
进入www.iflytek.com内网中。
详细说明:
先让我用个暴漫表达下我的心情。
开讲:之前进了你们好多分站,你们表示很淡定,所以我立志要进主站内网。所以我的目标定到了www.iflytek.com。
主站不过DNS域传送的漏洞,相信提了你们也会忽略,但是在这说下,你们自己让技术人员学习下。学习链接:http://www.wooyun.org/searchbug.php?q=DNS%E5%9F%9F%E4%BC%A0%E9%80%81
还是从主站入手,查查主站的旁站。
看到上面图 红色的网站。安徽省工商联。
其实我不大明白这个和讯飞有什么关联,但是经过ping,确定确实用了同一个公网ip。
目测他们是你的客户?(入侵是从这里的开始的,后面我会证明这和讯飞有很大关系,要是你真的觉得和讯飞没有关系,那就把这个漏洞转给cncert ,而你也千万别修复,让工商联修复,好嘛? ^ ^)
漏洞点:http://www.ahgcc.cn/siteserver/ siteserver3.5存在某漏洞,可以登录后台。上传shell,shell地址http://www.ahgcc.cn/sitefiles/temporaryfiles/contents/iis.aspx
具体什么漏洞,想知道的话就私信告诉你把,目测你们不感兴趣 哎,你们就当弱口令出来吧。。
拿到shell了以后 我们干嘛呢? 提权吗?权限确实不高。
Argument:
whoami
iis apppool\ahgcc.cn
怎么提呢? 本地溢出?目测2003还能秒杀了。然是systeminfo 看了一下
win2008 r2 X64 好家伙,我哪有这EXP啊。
数据库提权? netstat -an 一下 没有一个跟数据库相关的端口。
原来站库分离啊。来看看web.config
server=192.168.75.66;uid=sa;pwd=iflytek;database=ahgcc_new
终于,找到和讯飞的联系了,如果不是你们维护的,密码不应该这样吧?
192.168.75.66这台服务器有了sa权限,那么提权不就so easy的事情么。
可以看到很多数据库:
可以执行系统命令:
别担心,未做破坏性动作。
小结一下:到现在我们拿到了http://www.ahgcc.cn 内网ip(192.168.75.61)的webshell(权限较低) 和内网另外一台数据库服务器的system权限。
接下来,我们继续挖掘。查看这台服务器上还有哪些网站。
可以看出来,应该都是讯飞的客户。
再看看每个网站的web.config文件我就不截图 直接贴出来啦
server=192.168.82.188;User ID=devil;Password=devil;database=StatisticSystem
server=192.168.75.66;User ID=sa;Password=iflytek;database=IEPS
server=192.168.75.88;uid=sa;pwd=gf910)YZ;database=siteserver
server=192.168.75.66;uid=sa;pwd=gf910)YZ;database=huishang_gov
这样 理论上 又有两台服务器被攻破了,是不是?
哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈
其实前面都是铺垫。因为我的目标是
www.iflytek.com
showtime 机智的少年:
看到没。直接返回了 www.iflytek.com 的内网ip。192.168.75.28
到这 如果厂家还认为和讯飞无关的话,那就忽略吧 。。感觉不会再爱了。
再看思路
要渗透192.168.75.28 内网渗透肯定会简单很多,当然,我只是有一个shell做跳板,最好的 当然是获得个远程登录的跳板机,思路还是先提权入口服务器。http://www.ahgcc.cn
oh yeah 发现FZ。
利用FZ提权。
由于FZ在内网中,利用portmap端口转发14147 然后远程连接上去,添加 test账号 共享C盘。
准备端口转发出21号,端口,但应该是不可以的。
当我满心欢喜 ,公网ip 60.166.12.119 开放了21号端口时,却发现好像被。。。墙了。。
当当当。各位看官,到此结束啦,其实木有提权成功啦。 也不敢再继续深入下去了,
怕讯飞找我喝茶啊。。。。
漏洞证明:
修复方案:
1. 删除后门,防止删的不全,可以用工具扫描。比方说D盾。上次提供给你们了。
2. 升级siteserver到最新。(其实我也不知道最新是不是安全的。)
3。 修改各个密码。
4.给辛苦的白帽子个小礼物吧。。。听说讯飞有很多产品 啊 哇哈哈
版权声明:转载请注明来源 无力落地の白@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2014-06-10 17:24
厂商回复:
你好!感谢你的支持。漏洞我们已经重现并确认,目前已经安排修复。
最新状态:
暂无