当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0114549

漏洞标题:再一次纯社工测试八维学校内网并劫持域名

相关厂商:八维教育

漏洞作者: 浅蓝

提交时间:2015-05-17 11:51

修复时间:2015-07-06 08:28

公开时间:2015-07-06 08:28

漏洞类型:内部绝密信息泄漏

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-17: 细节已通知厂商并且等待厂商处理中
2015-05-22: 厂商已经确认,细节仅向厂商公开
2015-06-01: 细节向核心白帽子及相关领域专家公开
2015-06-11: 细节向普通白帽子公开
2015-06-21: 细节向实习白帽子公开
2015-07-06: 细节向公众公开

简要描述:

再一次入侵八维学校内网管理平台(可对任意学生&教官&老师进行任意操作.服务器已提权)+看我如何社工八维管理员并劫持域名
上次利用社工 整进了八维内网平台 没拿到更高的权限 感觉还是有点小不爽 这次一起给整了。
求闪电呀有木有. 求20rank!!!

详细说明:

一、社工域名
0x0 开场白
上次利用社工 整进了八维内网平台 没拿到更高的权限 感觉还是有点小不爽 这次一起给整了。 http://wooyun.org/bugs/wooyun-2014-089452
0x1 信息收集

JIL_(9`~)7KDG3N}J9DF]5S.png


www.bwie.cn-Cms=Dede - 122.115.60.205
www.bwie.org - 122.115.60.198
baway.org.cn - 122.115.60.199
www.bwie.com-Cms=Dede - 122.115.60.204
www.bwie.net-Cms=Dede - 122.115.60.203
八维的网站一共有这么几个。 虽说都是漏洞百出的dedecms ,不过这玩意都是被二次开发的 后台也改了 只好社工咯
就拿这个com先下手把

F$D4VD0]912NEC_Y_)9$OGU.png


_VDEI_[(D{LTJ8C96K7ROHN.png


通过简单的信息搜集 得知这两个邮箱是管理员的邮箱
域名万网买的
我在搜集资料中搜到这两个邮箱,看来都是管理员的。 进社工酷跑了一圈搜到两个密码
lidongmei740527
bjebin19780527这俩密码可以说一点用都没有。
0x2 拿到第一个帐号

(7~_S}`XG06ZOLYL1TFV{%6.png


在阿里云注册一下 发现被占用, 那么就一定注册过。

2BE1F2495D48485086DD738B4B6DA3F7.jpg


= = 只能碰运气去申诉了

FTS6L64I%7{ZQ%UL(1ZP8DU.png


基本信息都搜集到了 身份证什么的都是伪造瞎编的

4WYW312QOMFUAA773AB[K]5.png


功夫不负有心人 申诉成功了

_7GQ9{@IJW5Q`}{SA}%]FY7.png


结果上去发现屁都没有 是个没用的 到这我都想直接放弃了。。。
0x3 换思路,继续社
机智的我怎么会就这么点思路呢
既然万网不行,就来试试邮箱 只要和域名权限相关的一个都不放过
bjebin@126.com这个有密保问题,
问题是:我最喜欢的节日是什么
先输入了个国庆节 不对 然后输入春节 正确

QG2Q~9CA1XL6{J0(H84KT[I.png


成功修改密码

12LE8P~@HCMQ}JP2DOGSF}1.png


拿去重置万网密码时 本来是不行 只能用手机, 不能给邮箱发邮件改。
打电话问了下万网客服 他说周一再给打一遍 重置下手机号。
等到周一 给万网客服打了电话 说我手机号换了 只有绑定的邮箱 客服也是爽快 确认了我有邮箱权限 就给把绑定手机号改了
我再去重置万网的密码

I~JE[L%D~{`JZ@271I$KV$K.png


61(HIS{M5~_O)BJX3UONI$R.png

更改下指向IP证明下

XY`B`$ZB6R%_CMLQ)RP[C8Y.png


二、渗透内网平台
八维一共有两个内网管理平台
一个是海淀区(老校区)的管理平台 172.16.10.223:8080
另一个是大兴区(新校区)的管理平台 111.205.104.162:8080
上次整的是老校区的 这次来搞新校区

[0$GXWANW{8]$}Y(3$VG%31.png


用bugscan 也没扫出啥玩意来
◾http://111.205.104.162/?phpinfo=https%3A%2F%2Fcirt.net%2Frfiinc.txt%3F
bugscan认为是文件包含 - -其实是 wampserver的phpinfo

92712C1389A645FF9E2B73EA92C50F05.jpg


82CC1E060EAE4DE798531A709C812CD8.jpg


好几个目录
泄漏不少信息

G132YZ[V7%7~8889O4IO50V.png


@EG}I2BAS84XSY~B4AKV[90.png


还有个bbs目录 是个discuz 3.2的
有弱口令
admin
admin

__WWV9L9~SXTHD0}0}~%EIU.jpg


那个文件包含被补了
看下uc配置

H1SE}%C~_J[[~A2R3`RE($Q.png


是root权限
可以用这个
WooYun: Discuz!x xss反弹后台无防御sql注入getshell(附带exploit)
利用注入写一个webshell,只要权限够大就行
看phpinfo 得知绝对路径
然后按照那个漏洞操作

$`JDC{4L28XNPUSV)ZS[RQX.png


写成功了 好开森

){0EH@SP{G`3Z)[24]MH)ET.png


system权限

$@VIR9BLZF[9Y1EGVU(J[`M.png


不过让人无语的是内网才能连接。 lcx还不好使。
然后三块钱买了个临时服务器 配置好远控生成被控端 在那边执行

FC7FA5BB39C94971856FBAFD46AE7FD6.jpg


上线啦

@3280FR$D88)IQ{`35{9[DF.png


60(X`[(JJ)U{XQELUN7Q_G9.png


话说我给自己加几百个积分 你们不介意吧 o(∩_∩)o

漏洞证明:

@3280FR$D88)IQ{`35{9[DF.png

修复方案:

我装逼了,求被雷P

版权声明:转载请注明来源 浅蓝@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2015-05-22 08:27

厂商回复:

暂未能建立与网站管理单位的直接处置渠道,待认领.

最新状态:

暂无