腾讯分分彩组三杀号 > Web分析 >

web渗透实例之克市教育局web渗透—市OA系统

2018-07-22 14:30

  本次渗透是在取得教育局网络第三方厂商即时讯立维公司授权许可之后进行的渗透测试。

  漏洞报告也于第一时间交给教育局及第三方厂商,并且协助厂商进行了修补,至文章发布时,文中的漏洞已经得到修复。本文章选取了漏洞报告中的一部分进行公开,完整漏洞报告模板于社团群内部。

  本文仅供学习与交流,请勿用本文提到的技术方法进行破坏行为,由于使用不当造成的后果十三年不承担任何责任!

  从扫描结果显示了一些可远程利用的漏洞,对重点需要渗透测试的WEB主机等待扫描等信息收集工作完成后实施渗透。

  发现教育局网络为山石网科防火墙或网络设备的远程管理服务端口,建议用户使用IP地址限制功能来进行远程管理。

  注入型漏洞,我们通过远程测试后发现登陆口存在SQL注入的漏洞,我们可以通过sqlmap跑出服务器上面web数据库信息,如图:

  因为这个登录口是为教师登录的 又临近期末了 老师都需要用这个平台 服务器性能貌似承载不了SQL注入。

  为了减少对用户应用的影响,在验证完SQL注入漏洞后,我停止了进一步的渗透测试行为。

  hibernate信息等等省略后半部分过长。可以看到敏感信息 1.system权限 2.网站绝对路径 3.网站服务器系统信息 等等包括java环境信息。

  在添加账户时发现被拦截 查看进程发现有1.360主动防御 2.安全狗 3. 瑞星杀毒 这多个杀毒软件和安全软件(佩服佩服 能在一个服务器装这么多 服务器也是够安全)

  这里主要讲下这个st2漏洞利用工具 这款工具好处在于有列出了服务器目录的功能 当时我一开始想直接在登陆口目录传jsp木马拿shell的时候 连接的时候总会跳转到登陆口 Google了下 解决办法是传jspx 但是试了都不行。

  有了这个工具 直接找到网站root根目录 把shell传到根目录就不会跳转 可以直接连接就拿下了。

  大马上传之后的提权服务器过程就很简单了(虽然服务器有360 教育局专版瑞星杀毒 及 安全狗 但是然并卵 可能是社长太帅 丝毫没遇到拦截和阻力) 过程思路就是如之前社团网站这篇文章一样 传getpass.exe 在大马里面执行读取账号密码即可 详见:。

  里有意思的是读取密码之后 发现账号用的又是两个弱口令 至于具体哪两个暂时不方便说 因为在之后的教育局内网渗透之中发现百分之八十的服务器都是这两个密码 而且都是administrator的密码!!!由于此次渗透测试范围仅限于OA系统 所以暂且没做内网大范围渗透。

  漏洞危害:OA办公系统存在的ST2漏洞 直接导致了网站服务器被提权 由此一台服务器可以导致教育局内网服务器漫游 泄露全市中小学生身份证信息包括老师的身份证。

  其次有意思的事情是 在我之前就已经有前人入侵进了vcm评价的服务器 在D盘根目录大大的存留着webhsell和木马 然而讽刺的是服务器运行着安全狗 360 和瑞星杀毒,我想我可能遇到了假的安全软件。

  PS:此次渗透测试是在取得授权情况下进行的,合法正规的一次渗透测试,请勿利用本文提及的方法在未经授权情况下对任何一个网站进行渗透测试,出现的后果与本社团及作者无关。最后附上两张社长被教育局招安的聘书。