漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0114236
漏洞标题:四川师范大学内网漫游
相关厂商:sicnu.edu.cn
漏洞作者: Ztz
提交时间:2015-05-15 12:50
修复时间:2015-06-15 15:21
公开时间:2015-06-15 15:21
漏洞类型:成功的入侵事件
危害等级:高
自评Rank:20
漏洞状态:厂商已经修复
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-05-15: 细节已通知厂商并且等待厂商处理中
2015-05-17: 厂商已经确认,细节仅向厂商公开
2015-05-27: 细节向核心白帽子及相关领域专家公开
2015-06-06: 细节向普通白帽子公开
2015-06-15: 厂商已经修复漏洞并主动公开,细节向公众公开
简要描述:
四川师范大学内网漫游
多台服务器远程桌面
多台服务器shell
多台服务器webapp数据库注入
详细说明:
1.这个故事的名字叫"一个弱口令引发的血案"。
2.先看这个洞http://wooyun.org/bugs/wooyun-2015-0113682川师大的修复方案是前台页面不告诉你默认密码123456了。
3.接着我们百度到川师大学号的格式。是已经毕业的学生,用123456登进去。基本服务都能使用。
4.然后我们来到校内信息网开始腥风血雨地折腾。
5.感觉学校特有钱,每个二级域名分站都是固定IP的直连外网的独立主机。
按照"被渗透的程度"关系列一下,大概有这么几个问题。
普通用户登录
Cookie内有学号信息,通过遍历Cookie里的学号即可达到遍历他人信息的目的,这里抓取身份证举例
Cookie里有一项更好玩的值叫RoleNo。锁定为1后直接变身管理员。
然后就可以随便看哪个艺术系的妹妹了。
文件上传处完全不检查后缀。上传一句话。
但是自己看不到自己发布的文件,以为要没戏,终于在系统日志里面翻到真实目录信息。试了一下果真是网站根目录。
这数据量也不小。学生职工全有了。
不得不说,大黄页的名字不是盖的,各种系统,管理平台,登陆口这里全都给你列好了。
它有个网盘功能,传图片能返回真实地址,传jsp不返回但是不检查后缀,于是我们按照jpg|jsp|jpg的顺序传了三个文件,文件名有4位要用burp爆破一下,实际使用的时候,文件名上的数字其实是递增的,真正要跑的就50次不到,很快就出shell地址了。
这台服务器用的webapp对菜刀支持不太好,换上本地大马来搞。
又是几百张表的数据库。这是统一认证的站,这数据库应该堪称全校最全了吧。反正能泄露的都泄露了。
怎么传都只返回jpg。特么连bmp都返回jpg你在逗我?反正甭管后缀取到文件名就成,加个.jsp上菜刀,添加管理员被组策略挡了:"密码不满足密码策略的要求。检查最小密码长度、密码复杂性和密码历史的要求。"囧,真贴心。于是我整了个超霸气的密码。
登一下看看。
这个站的数据库比起前面财务,综合管理,信息门户这些就要不重要许多了。但是偏偏这个站的内存配置非常高。
s2命令执行。3分钟shell就来了。(实际上这是我整过测试过程中拿下的第一台服务器,所以截图比较多,各位看官请耐心~)
权限高高哒
独立外网IP而且连着内网(上面几台服务器都是这个套路)
学生综合门户配4G内存,一个借教室的站配了28G内存。也是6
漏洞证明:
同上
修复方案:
你们更专业
版权声明:转载请注明来源 Ztz@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2015-05-17 16:56
厂商回复:
涉及站点已隔离,通知相关负责人处理问题。
最新状态:
2015-06-15:漏洞已全部修复,感谢ZTZ对四川师范大学信息安全建设做出的卓越贡献!