web滲透實例之克市教育局web滲透—市OA系統
本次滲透是在取得教育局網路第三方廠商即時訊立維公司授權許可之後進行的滲透測試。
漏洞報告也於第一時間交給教育局及第三方廠商,並且協助廠商進行了修補,至文章發布時,文中的漏洞已經得到修復。本文章選取了漏洞報告中的一部分進行公開,完整漏洞報告模板於社團群內部。
免責申明:請使用者注意使用環境並遵守國家相關法律法規!
本文僅供學習與交流,請勿用本文提到的技術方法進行破壞行為,由於使用不當造成的後果十三年不承擔任何責任!
一.信息搜集:
從掃描結果顯示了一些可遠程利用的漏洞,對重點需要滲透測試的WEB主機等待掃描等信息收集工作完成後實施滲透。
掃描時得出以下埠服務信息:
http://pj.klmyedu.cn 開放的埠9090 作為OA平台老師登錄口http://pj.klmyedu.cn:9090/klmy_pingjia/login.action
發現教育局網路為山石網科防火牆或網路設備的遠程管理服務埠,建議用戶使用IP地址限制功能來進行遠程管理。
繼續進行埠掃描和測試,發現一些問題並做部分測試。
二.漏洞掃描
注入型漏洞,我們通過遠程測試後發現http://pj.klmyedu.cn:9090/klmy_pingjia/login.action 登陸口存在SQL注入的漏洞,我們可以通過sqlmap跑出伺服器上面web資料庫信息,如圖:
web application technology: JSP
back-end DBMS: Microsoft SQL Server 2005
因為這個登錄口是為教師登錄的 又臨近期末了 老師都需要用這個平台 伺服器性能貌似承載不了SQL注入。
為了減少對用戶應用的影響,在驗證完SQL注入漏洞後,我停止了進一步的滲透測試行為。
2. Apache Tomcat examples directory vulnerabilities(示例文件)
Apache Tomcat默認安裝包含」/examples」目錄,裡面存著眾多的樣例,其中session樣例(/examples/servlets /servlet/SessionExample)允許用戶對session進行操縱。因為session是全局通用的,所以用戶可以通過操縱 session獲取管理員許可權。
漏洞地址
http://120.77.102.161:8080/examples/servlets/servlet/SessionExample
3.Apache Struts2 Multi-Remote Code Execution(簡稱st2漏洞)
在http://pj.klmyedu.cn:9090/klmy_pingjia/login.action 登陸口存在st2漏洞
可獲取信息完整清晰:
網站物理路徑: D:vcmpingjia omcat5webappsklmy_pingjia
java.home: D:vcmpingjiajdk1.5.0_18jre
java.version: 1.5.0_18
os.name: Windows 2003
os.arch: x86
os.version: 5.2
user.name: SYSTEM
user.home: C:WINDOWSsystem32configsystemprofile
user.dir: C:WINDOWSsystem32
java.library.path: D:vcmpingjia omcat5in;.;C:WINDOWSsystem32;C:WINDOWS;.;C:Program FilesJavajdk1.5.0_04in;C:WINDOWSsystem32;C:WINDOWS;C:WINDOWSSystem32Wbem;
hibernate信息等等省略後半部分過長。可以看到敏感信息 1.system許可權 2.網站絕對路徑 3.網站伺服器系統信息 等等包括java環境信息。
通過system許可權 我們直接執行遠程命令查看內網拓撲 添加賬戶等等。
在添加賬戶時發現被攔截 查看進程發現有1.360主動防禦 2.安全狗 3. 瑞星殺毒 這多個殺毒軟體和安全軟體(佩服佩服 能在一個伺服器裝這麼多 伺服器也是夠安全)
這裡主要講下這個st2漏洞利用工具 這款工具好處在於有列出了伺服器目錄的功能 當時我一開始想直接在登陸口目錄傳jsp木馬拿shell的時候 連接的時候總會跳轉到登陸口 Google了下 解決辦法是傳jspx 但是試了都不行。
有了這個工具 直接找到網站root根目錄 把shell傳到根目錄就不會跳轉 可以直接連接就拿下了。
此工具下載地址www.klmyssn.club/exploit/st2.jar
然後傳上一個jsp大馬 社團專用JSP大馬下載地址 http://www.klmyssn.club/dama/ssn-jsp.zip
里有意思的是讀取密碼之後 發現賬號用的又是兩個弱口令 至於具體哪兩個暫時不方便說 因為在之後的教育局內網滲透之中發現百分之八十的伺服器都是這兩個密碼 而且都是administrator的密碼!!!由於此次滲透測試範圍僅限於OA系統 所以暫且沒做內網大範圍滲透。
滲透結果:
成功提權的伺服器
1. OA辦公系統後台伺服器(VCM評價的web伺服器) 型號:HP proliant DL580 內網ip:172.16.1.X
2.資料庫群集伺服器(存貯有全市中小學生身份證數據即是評價系統登陸賬號) 型號:HP proliant DL583 內網ip:172.16.1.X
3.科大訊飛跳板伺服器(意外收穫) 型號: HP proliant DL581 內網ip:172.16.1.X
漏洞危害:OA辦公系統存在的ST2漏洞 直接導致了網站伺服器被提權 由此一台伺服器可以導致教育局內網伺服器漫遊 泄露全市中小學生身份證信息包括老師的身份證。
以下是部分數據截圖
其次有意思的事情是 在我之前就已經有前人入侵進了vcm評價的伺服器 在D盤根目錄大大的存留著webhsell和木馬 然而諷刺的是伺服器運行著安全狗 360 和瑞星殺毒,我想我可能遇到了假的安全軟體。
點到為止吧 達成最初的目的了。
完整的滲透測試報告已上傳到社團群 各位社員可以自行下載學習。
PS:此次滲透測試是在取得授權情況下進行的,合法正規的一次滲透測試,請勿利用本文提及的方法在未經授權情況下對任何一個網站進行滲透測試,出現的後果與本社團及作者無關。最後附上兩張社長被教育局招安的聘書。
* 文章出處:十三年 克拉瑪依高級中學信息技術社團
你可能喜歡
※蘋果公司內部核心代碼泄露在github上
※Tunna:一款神奇的工具,它可以通過HTTP封裝隧道通信任何TCP
TAG:黑白之道 |