漏洞概要
关注数(24)
关注此漏洞
漏洞标题:互联网金融之融通汇信某站点SQL注入导致内网漫游(metasploit基础教程篇二)
漏洞作者: 默之
提交时间:2015-09-11 07:01
修复时间:2015-10-26 07:02
公开时间:2015-10-26 07:02
漏洞类型:成功的入侵事件
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2015-09-11: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-10-26: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
某个软件的通用漏洞
简单介绍下融通汇信:
<code>2012年7月 经北京工商局注册成立
2012年8月 与证大财富签约合作
2013年3月 国家金融界有关领导莅临公司考察工作,对融通汇信的快速发展给予高度赞扬
2013年5月 在人民大会堂荣获“中国微金融服务最佳诚信品牌”奖
2013年6月 与上海资信建立战略合作关系
2013年8月 千人相聚,共同举杯欢庆公司一周岁生日
2013年10月 出席2013中国小额信贷联盟年会,并当选P2P委员会执行委员
2014年1月 融通汇信志愿者“关爱母亲河”活动广受媒体关注
2014年1月 强势入席CIFC互联网金融联盟
2014年1月 阿朋贷正式上线,公司全面进军互联网金融
2014年5月 与简单理财网签约合作
2014年6月 与挖财网签约合作[1] </code>
发展还是挺迅速的,废话不多说,开始了
详细说明:
网址:http://kq.rthxchina.com:7070/Login.aspx
#1 SQL注入
采用的是永益web考勤管理系统,这个系统有漏洞,参见
万能密码admin'or'1'='1/密码任意六位字母 登录进入系统
可以看到数千的员工信息4000+
从这个系统就可以修改员工的签到信息了,将老板设置为签到,这样老板每天都会迟到了
还有员工的邮箱,这不是今天的重点,所以就不拿去做爆破了
#2 Getshell
依然是这个系统,在请假单管理里面找到申请请假的员工,然后点击编辑,这里就会出现一个上传页面,这个页面允许任意文件上传,因此直接添加aspx大马就行了,然后就获取到路径,登录即可
之后找到了网站的配置文件,发现了mssql数据库名称用户和密码
这个是这次的重点,看似简单的密码,打开了内网的大门
漏洞证明:
#3 内网漫游开始
使用工具就是今天的主角metasploit
好了先生成我们的payload的吧
关于端口映射的内容,可以从网上搜一下,很多教学,这里就不做演示了
之后将我们生成的setup.exe文件上传到目标站点
之后打开metasploit,
好了,之后在大马的cmdshell中执行我们上传的文件
然后就会生成一个meterpreter(思维没跟上,忘记截图了,暂时用其他步骤的一张)
这个系统是win2008,使用metasploit自带提权没有成功
然后输入shell,进入类似cmd的界面,查看ip,当然也可以直接在meterpreter中输入ipconfig进行查询,这里就可以执行好多命令了,如果是system权限就可以添加管理员账号了,但是没有提权成功
之后exit,退出shell界面,回到meterpreter,要使用他进行内网的端口扫描需要添加路由信息
接下来就要用到辅助模块了也就是auxiliary里面的模块
可以看见出了本机外还有一台机器开了1433端口
使用mssql_login模块猜解密码
可以看见成功了,密码和刚刚那个一样123.abc
然后就可以使用下面的执行系统命令了
很好system权限
可以看到管理员账号确实添加上了,中间有一点小插曲,就是设置密码的时候,老是没有成功,返回是乱码,刚开始觉着不太可能,因为是system权限,后来将密码设置复杂的就可以了
现在想这是有了账号密码,试着使用smb登陆,但是445端口没有开放,然后就想着使用mssql的payload模块生成一个meterpreter也行,然后就执行
最后竟然什么也没有生成,想问一下大牛这是怎么回事,望告知,实在没办法了想起了还可以端口转发的。。。(脑袋短路了)
然后session -i 1回到原来的meterpreter中,执行
在新打开的终端里输入
使用刚才的账号和密码登陆就可以了
试了一下192.168.43.90也可以登陆,但是没有取得密码
这个服务器运行中融通汇信的系统办公系统
明明开着服务,但是外网就是打不开,不知道什么原因
就到这里了,其实还可以渗透,系统有员工的登录密码,没有接着下去了
修复方案:
版权声明:转载请注明来源 默之@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:15 (WooYun评价)