记一次不一样的应急响应
2023-2-24 08:31:15 Author: 浪飒sec(查看原文) 阅读量:15 收藏

免责声明

本公众号所发布的文章及工具只限交流学习,本公众号不承担任何责任!如有侵权,请告知我们立即删除。

前言

这次的应急响应完全是意外,有个公司的名字和我所在的公司名字很接近,客户打电话到我们这了,也是本着有项目机会的想法,指派我对其进行应急响应。

这次应急响应也是有点特殊之处,特此记下分享给大家。

客户不知道设备密码

本次应急响应是客户单位被网信办通报有命令执行漏洞,网信办那边给如下地址,说是该地址存在命令执行漏洞。

http://xx.xx.xx.xxx:9091/view/DBManage/Backup-Server-commit.php

联系客户客户说他们不知道9091端口是什么设备,也不知道互联网上有设备,我就去fofa上查了一下,发现9090端口有个设备,同时扫了一下开发端口,发现2222、9090、9091三个端口开放。

访问9091端口是404,然后访问9090端口是一台上网行为管理,看9090和9091端口设置的很近,猜测是不是客户以前设置网络不小心把9090端口这个设备的某个功能映射到9091端口了,于是就管客户要密码,可是客户说不知道密码在联系厂家。

这种情况第一次碰到,只能等呗,顺便等待期间好好查查其他地方。我也查了一下这个设备有没有网信办通报的这个目录,可惜没查到,所以还不能确定就是这台设备的问题。

一个惊喜

就在我到处闲逛的时候,发现了一个有趣的地方。

这个设备居然在html里写有账户名和密码的MD5值,好家伙,MD5解密成功后直接登录成功,也就不用等客户联系厂商了,和客户说我已经进来了就继续找问题了。

显然这是一个很久没管理的设备,各种设置基本都是出厂设置,查了一下这个密码好像就是这台设备的默认密码,又收获一个厂商设备的默认密码啊,一个好大的惊喜。

确认问题所在

点到这个报表中心的时候发现会跳转9091端口,这就基本确定网信办通报的就是这台设备存在命令执行漏洞了。

网信办既然能够扫描到,那说明这个设备的漏洞已经是Nday了,网上查了查却没查到,真晦气,看来要自己去复现了。

漏洞复现

在点页面找目录的途中发现了设置9091映射的地方,是reportor登录界面,reporter是这个设备的审计管理员。好家伙,第一次见审计管理员界面和超级管理员不是一个端口的。

尝试9091端口后加reporter目录,没有访问到,看来这个reporter的访问页面是个固定路径,直接上字典扫描,还好扫描成功,点击路径直接一个未授权访问,给我吓一跳。

各种办法试了,只有这一个路径有东西,可是这个路径进来基本什么都没有,既然这里未授权,那估计没有防御,猜测命令执行是不是可以通过修改数据包来复现,直接抓包,使用post型数据包检测语句执行whoami命令,并将执行结果保存到test.txt中

POST /guest_auth/guestIsUp.php
Content-Type: application/x-www-form-urlencoded
mac=1&ip=127.0.0.1|whoami > test.txt

访问访问/guest_auth/test.txt文件,获取当前服务器用户权限为ROOT,复现完成。

当然也可以直接把网信办所通报目录的文件考下来进行代码审计,这里成功我就不再费劲了,功成身退。


文章来源: http://mp.weixin.qq.com/s?__biz=MzI1ODM1MjUxMQ==&mid=2247491908&idx=1&sn=0d5806cb041df82b0dfa6983e1540cf5&chksm=ea0bd554dd7c5c42d056f935a24ad0ceb92b54a4bfd54f235143ea08ca2ca80d97dc414796de#rd
如有侵权请联系:admin#unsafe.sh