网站目录收录网站方式:1.人工手动审核。2.自助审核(你的网站在权重3、PR4以上,挂上本站友链->点击友链->自动审核通过。)
北京 天津 上海 广东 深圳 河北 河南 新疆 重庆 四川 贵州 湖南 湖北 云南 广西 宁夏 青海 甘肃 陕西
西藏 海南 山东 福建 安徽 浙江 吉林 山西 江西 江苏 辽宁 黑龙 内蒙 澳门 香港 台湾 日本 韩国 美国
当前位置:站长啦网站目录 » 新闻资讯 » 站长新闻 » 漏洞预警 » 文章详细 订阅RssFeed

[公开漏洞]友情测试科大讯飞系统#7(呵呵,再忽略以后就不会提了)

来源:WooYun 浏览:1280次 时间:2014-07-25
简介:友情测试科大讯飞系统#7(呵呵,再忽略以后就不会提了) 相关厂商: iflytek.com漏洞作者:无力落地の白 提交时间:2014-06-09 15:38 公开时间:2014-07-24 15:40 漏洞类型:文件上传导致任意代码执行危

友情测试科大讯飞系统#7(呵呵,再忽略以后就不会提了) 相关厂商: iflytek.com 漏洞作者:无力落地の白 提交时间:2014-06-09 15:38 公开时间:2014-07-24 15:40 漏洞类型:文件上传导致任意代码执行 危害等级:高 自评Rank:20 漏洞状态: 厂商已经确认 漏洞来源:http://www.wooyun.org Tags标签: 无 漏洞详情 披露状态:

2014-06-09:细节已通知厂商并且等待厂商处理中
2014-06-10:厂商已经确认,细节仅向厂商公开
2014-06-20:细节向核心白帽子及相关领域专家公开
2014-06-30:细节向普通白帽子公开
2014-07-10:细节向实习白帽子公开
2014-07-24:细节向公众公开

简要描述:

进入www.iflytek.com内网中。

详细说明:

先让我用个暴漫表达下我的心情。

0.jpg





开讲:之前进了你们好多分站,你们表示很淡定,所以我立志要进主站内网。所以我的目标定到了www.iflytek.com。



主站不过DNS域传送的漏洞,相信提了你们也会忽略,但是在这说下,你们自己让技术人员学习下。学习链接:http://www.wooyun.org/searchbug.php?q=DNS%E5%9F%9F%E4%BC%A0%E9%80%81



0.1.jpg





还是从主站入手,查查主站的旁站。

0.3.jpg



看到上面图 红色的网站。安徽省工商联。

其实我不大明白这个和讯飞有什么关联,但是经过ping,确定确实用了同一个公网ip。



目测他们是你的客户?(入侵是从这里的开始的,后面我会证明这和讯飞有很大关系,要是你真的觉得和讯飞没有关系,那就把这个漏洞转给cncert ,而你也千万别修复,让工商联修复,好嘛? ^ ^)



漏洞点:http://www.ahgcc.cn/siteserver/ siteserver3.5存在某漏洞,可以登录后台。上传shell,shell地址http://www.ahgcc.cn/sitefiles/temporaryfiles/contents/iis.aspx



0.4.jpg





具体什么漏洞,想知道的话就私信告诉你把,目测你们不感兴趣 哎,你们就当弱口令出来吧。。



拿到shell了以后 我们干嘛呢? 提权吗?权限确实不高。

Argument:

whoami

iis apppool\ahgcc.cn



怎么提呢? 本地溢出?目测2003还能秒杀了。然是systeminfo 看了一下

win2008 r2 X64 好家伙,我哪有这EXP啊。



数据库提权? netstat -an 一下 没有一个跟数据库相关的端口。



原来站库分离啊。来看看web.config



0.5.jpg



server=192.168.75.66;uid=sa;pwd=iflytek;database=ahgcc_new



终于,找到和讯飞的联系了,如果不是你们维护的,密码不应该这样吧?



192.168.75.66这台服务器有了sa权限,那么提权不就so easy的事情么。

可以看到很多数据库:

0.6.jpg





可以执行系统命令:

0.7.jpg





别担心,未做破坏性动作。



小结一下:到现在我们拿到了http://www.ahgcc.cn 内网ip(192.168.75.61)的webshell(权限较低) 和内网另外一台数据库服务器的system权限。



接下来,我们继续挖掘。查看这台服务器上还有哪些网站。

0.8.jpg



可以看出来,应该都是讯飞的客户。

再看看每个网站的web.config文件我就不截图 直接贴出来啦



server=192.168.82.188;User ID=devil;Password=devil;database=StatisticSystem

server=192.168.75.66;User ID=sa;Password=iflytek;database=IEPS

server=192.168.75.88;uid=sa;pwd=gf910)YZ;database=siteserver

server=192.168.75.66;uid=sa;pwd=gf910)YZ;database=huishang_gov



这样 理论上 又有两台服务器被攻破了,是不是?



哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈



其实前面都是铺垫。因为我的目标是

www.iflytek.com



showtime 机智的少年:

0.9.jpg



看到没。直接返回了 www.iflytek.com 的内网ip。192.168.75.28



到这 如果厂家还认为和讯飞无关的话,那就忽略吧 。。感觉不会再爱了。



再看思路



要渗透192.168.75.28 内网渗透肯定会简单很多,当然,我只是有一个shell做跳板,最好的 当然是获得个远程登录的跳板机,思路还是先提权入口服务器。http://www.ahgcc.cn



oh yeah 发现FZ。

11.jpg







利用FZ提权。





由于FZ在内网中,利用portmap端口转发14147 然后远程连接上去,添加 test账号 共享C盘。

2.jpg





准备端口转发出21号,端口,但应该是不可以的。



当我满心欢喜 ,公网ip 60.166.12.119 开放了21号端口时,却发现好像被。。。墙了。。





当当当。各位看官,到此结束啦,其实木有提权成功啦。 也不敢再继续深入下去了,

怕讯飞找我喝茶啊。。。。







漏洞证明:

上面说的很详细。

我觉得挺危险的。

10.jpg

修复方案:

1. 删除后门,防止删的不全,可以用工具扫描。比方说D盾。上次提供给你们了。



2. 升级siteserver到最新。(其实我也不知道最新是不是安全的。)



3。 修改各个密码。



4.给辛苦的白帽子个小礼物吧。。。听说讯飞有很多产品 啊 哇哈哈

版权声明:转载请注明来源 无力落地の白@乌云

漏洞回应 厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-06-10 17:24

厂商回复:

你好!感谢你的支持。漏洞我们已经重现并确认,目前已经安排修复。

最新状态:

暂无


0

版权与免责声明:

凡注明稿件来源的内容均为转载稿或由网友用户注册发布,本网转载出于传递更多信息的目的;如转载稿涉及版权问题,请作者联系我们,同时对于用户评论等信息,本网并不意味着赞同其观点或证实其内容的真实性;


本文地址:https://top.cnzzla.com/artinfo/2596.html

好玩的手游下载

猜你喜欢

推荐站点

  • 福州小程序开发福州小程序开发

    福州好小蚁科技提供专业的微信小程序开发、软件定制、手机APP开发、网站开发等高端定制外包服务,价格美丽,服务周到.一对一项目对接,不满意退全款!预约电话:13107632710 胡小春!福州好小蚁科技有限公司是福建福州网站app等技术开发优秀网络公司。

    www.fzant.com
  • 世界时间网世界时间网

    世界时间网为您提供世界各地精准时间,北京时间校准器,标准时间,世界各地时间与北京时间对比,时间换算等,希望对您有所帮助。

    top.cnzzla.com/time
  • 科技镇科技镇

    科技镇 | 关注科技、娱乐、人文、生活!

    www.kejizhen.com
  • 心动网址导航心动网址导航

    心动网址导航精选了国内国外著名的网站、好玩的、好看的、有趣的国内国外网站以及实用的、优秀的国内国外网站,包括国外视频、国外购物、国外交友、国外新闻等多种类型 同时提供精品行业分类目录提交,让用户全方位了解国内国外互联网动态!

    xd00.com
  • 门户网址-优秀网站导航门户网址-优秀网站导航

    门户网址-优秀网站导航,精选网址导航,免费分类目录提交,实用酷站大全。

    top.mhwz.cn

最新优秀网站