四川烟草网MSSQL遇SA权限能执行0S-SHELL成功提权服务器(可内网渗透)

漏洞概要

缺陷编号:WooYun-2015-0104036

漏洞标题:四川烟草网MSSQL遇SA权限能执行0S-SHELL成功提权服务器(可内网渗透)

相关厂商:四川烟草工业有限责任公司

漏洞作者:千斤拨四两

提交时间:2015-03-27 00:20

公开时间:2015-03-27 11:24

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经修复

Tags标签:

漏洞详情

披露状态:

2015-03-27: 细节已通知厂商并且等待厂商处理中
2015-03-27: 厂商已经确认,细节仅向厂商公开
2015-03-27: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

在后台登陆框用户名参数存在基于时间的盲注,SQLMAP可直接获取SA权限执行系统命令!

详细说明:

POC:

user_name参数可利用时间戳盲注!下面看步骤现行判断当时权限,直接执行命令:

SA权限,可尝试os-shell若是xp_cmdshell没有查出可直接获取系统权限。即为SA权限也可爆出数据裤密码,执行命令。

若是1433端口开放也可连接数据库,但是1433开放,执行OS-SHELL。执行成功,直接判断系统环境。

直接着执行命令看看当前用户的权限:

哈哈,直接是系统管理员的权限和那些用户,看看一下服务器所处的的环境。

所处环境是内网10.164.x.x的,执行net user添加系统用户,不在赘述直接上图!

分分钟直接添加成功,可内网渗透!贴出一些数据库爆出的信息:

漏洞证明:

这些事一些贴图用户证明!

修复方案:

过滤修补SQL注射,把系统xp_cmdshell插件删除!

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-03-2711:23

厂商回复:

已修复

最新状态:

2015-03-27:已修复

2015-03-27:已修复

评价

  1. 2010-01-01 00:00 乌云白帽子 白帽子 | Rank:0 漏洞数:0)

    吸烟不要钱了

  2. 2010-01-01 00:00 千斤拨四两 白帽子 | Rank:257 漏洞数:23)

    @乌云白帽子 小时候装B吸过

  3. 2010-01-01 00:00 老虎 白帽子 | Rank:0 漏洞数:1)

    BT5?

  4. 2010-01-01 00:00 千斤拨四两 白帽子 | Rank:257 漏洞数:23)

    @老虎 Kali

  5. 2010-01-01 00:00 Gnest 白帽子 | Rank:0 漏洞数:0)

    给我邮几条烟@

  6. 2010-01-01 00:00 三浪兄 白帽子 | Rank:15 漏洞数:2)

    洞主,你的语文让我看的压力好大。。。

  7. 2010-01-01 00:00 千斤拨四两 白帽子 | Rank:257 漏洞数:23)

    @三浪兄 --! 那我知道用英语啦。。。

  8. 2010-01-01 00:00 寒风不冷 白帽子 | Rank:0 漏洞数:0)

    还是挺详细的,挖洞好辛苦

  9. 2010-01-01 00:00 爹 白帽子 | Rank:17 漏洞数:3)

    @千斤拨四两 求获取sa密码的那段命令 是在哪个表里的吗