当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0114236

漏洞标题:四川师范大学内网漫游

相关厂商:sicnu.edu.cn

漏洞作者: Ztz

提交时间:2015-05-15 12:50

修复时间:2015-06-15 15:21

公开时间:2015-06-15 15:21

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-05-15: 细节已通知厂商并且等待厂商处理中
2015-05-17: 厂商已经确认,细节仅向厂商公开
2015-05-27: 细节向核心白帽子及相关领域专家公开
2015-06-06: 细节向普通白帽子公开
2015-06-15: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

四川师范大学内网漫游
多台服务器远程桌面
多台服务器shell
多台服务器webapp数据库注入

详细说明:

1.这个故事的名字叫"一个弱口令引发的血案"。
2.先看这个洞http://wooyun.org/bugs/wooyun-2015-0113682川师大的修复方案是前台页面不告诉你默认密码123456了。
3.接着我们百度到川师大学号的格式。是已经毕业的学生,用123456登进去。基本服务都能使用。
4.然后我们来到校内信息网开始腥风血雨地折腾。
5.感觉学校特有钱,每个二级域名分站都是固定IP的直连外网的独立主机。
按照"被渗透的程度"关系列一下,大概有这么几个问题。

http://zjc.sicnu.edu.cn/  录取查询SQL注入->新生资料泄露,包含照片住址电话身份证考生号EMS快递号等信息


24.PNG


25.PNG


26.PNG


http://202.115.192.98/  校园一卡通查询处SQL注入->身份证学号姓名余额


22.PNG


23.PNG


http://202.115.200.140:8082/  综合财务系统SQL注入->学生缴费保险学号各种表,权限还是DBA【数据量巨大一个库几百个表】


5.PNG


6.PNG


http://lx.sicnu.edu.cn  离校生/新生系统 ->个人资料遍历,姓名学号电话等。已拿SHELL


普通用户登录

8.PNG


Cookie内有学号信息,通过遍历Cookie里的学号即可达到遍历他人信息的目的,这里抓取身份证举例

7.PNG


Cookie里有一项更好玩的值叫RoleNo。锁定为1后直接变身管理员。

9.PNG


然后就可以随便看哪个艺术系的妹妹了。

10.PNG


文件上传处完全不检查后缀。上传一句话。

12.PNG


但是自己看不到自己发布的文件,以为要没戏,终于在系统日志里面翻到真实目录信息。试了一下果真是网站根目录。

13.PNG


这数据量也不小。学生职工全有了。

14.PNG


15.PNG


http://portal.sicnu.edu.cn/  统一认证门户,内网大黄页,自己也提供网盘服务(很少看到这么实在的学校了。。) ->拿了SHELL脱裤子


不得不说,大黄页的名字不是盖的,各种系统,管理平台,登陆口这里全都给你列好了。

21.PNG


它有个网盘功能,传图片能返回真实地址,传jsp不返回但是不检查后缀,于是我们按照jpg|jsp|jpg的顺序传了三个文件,文件名有4位要用burp爆破一下,实际使用的时候,文件名上的数字其实是递增的,真正要跑的就50次不到,很快就出shell地址了。

18.PNG


这台服务器用的webapp对菜刀支持不太好,换上本地大马来搞。

19.PNG


又是几百张表的数据库。这是统一认证的站,这数据库应该堪称全校最全了吧。反正能泄露的都泄露了。

20.PNG


http://zhgl.sicnu.edu.cn/  学生综合管理系统 ->这数据库也是表多得没边 已拿SHELL。远程桌面登录。


怎么传都只返回jpg。特么连bmp都返回jpg你在逗我?反正甭管后缀取到文件名就成,加个.jsp上菜刀,添加管理员被组策略挡了:"密码不满足密码策略的要求。检查最小密码长度、密码复杂性和密码历史的要求。"囧,真贴心。于是我整了个超霸气的密码。

17.PNG


登一下看看。

16.PNG


http://classroom.sicnu.edu.cn/ 教室申请系统 ->已拿SHELL。远程桌面登录。


这个站的数据库比起前面财务,综合管理,信息门户这些就要不重要许多了。但是偏偏这个站的内存配置非常高。
s2命令执行。3分钟shell就来了。(实际上这是我整过测试过程中拿下的第一台服务器,所以截图比较多,各位看官请耐心~)

1.PNG


2.PNG


权限高高哒

3.PNG


独立外网IP而且连着内网(上面几台服务器都是这个套路)

4.PNG


学生综合门户配4G内存,一个借教室的站配了28G内存。也是6

0.PNG


内网嗅探,ARP一下应该还能有更多发现,这里点到为止,先做好外围边界的防护,堵上从webapp进来的路


能给足20?

漏洞证明:

同上

修复方案:

你们更专业

版权声明:转载请注明来源 Ztz@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-05-17 16:56

厂商回复:

涉及站点已隔离,通知相关负责人处理问题。

最新状态:

2015-06-15:漏洞已全部修复,感谢ZTZ对四川师范大学信息安全建设做出的卓越贡献!