链家地产某业务漏洞导致内网渗透暴露多个安全问题

漏洞概要

缺陷编号:WooYun-2015-0130575

漏洞标题:链家地产某业务漏洞导致内网渗透暴露多个安全问题

相关厂商:homelink.com.cn

漏洞作者:redrain有节操

提交时间:2015-07-31 09:23

公开时间:2015-07-31 14:42

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经修复

Tags标签:

漏洞详情

披露状态:

2015-07-31: 细节已通知厂商并且等待厂商处理中
2015-07-31: 厂商已经确认,细节仅向厂商公开
2015-07-31: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

富还是你们富,没地方住诶
链家某业务逻辑问题可导致普通用户越权admin,任意文件上传后shell进入内网,随后发现其内网脆弱性。。。真的很脆弱,影响所有员工数据,用户数据(诸多北漂屌丝们),影响整个线上业务,猜密码大法好

详细说明:

url:http://119.254.70.121/注册用户后居然能直接进行后台管理。。。

上传没有任何过滤,简单shellhttp://119.254.70.121//upload/video/PIC_0000001180.jsproot权限,确定一下网段

随后探测性扫描一下网段的业务

http://172.16.4.245核心销售平台弱口令,简单看一下,基本销售业务都在眼皮下了

172.16.4.236是内部论坛,discuz7.2存在sqli获取一下表前缀:dvbb_

简单证明一下数据

拿uc_key可getshell,拿member数据可脱员工数据过sso进一步玩其他业务来翻一翻文件,发现好东西

数据库连接串和ldap认证都拿到了http://172.16.4.30/users/sign_ingitlab可通过ldap认证进入http://passport.homelink.com.cn/cas/login?service=http://sm.lianjia.com/shiro-cashttp://172.16.4.38/login_page.php?return=index.php&error=1&username=admin&perm_login=0&secure_session=1几个敏感业务也可通过员工sso认证后访问有办公段,但考虑到大晚上就没撸员工办公段了接下来就是用户数据了,rsync,密码一猜就中proxychains rsync [email protected]::docfileDB/rmanbackup/password:homelink

漏洞证明:

修复方案:

自查弱口令尽快修改ldap等关键密码,以防gitlab代码被下后门内网业务及时补丁最后,最重要的一条修复建议:请减免房租造福屌丝

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-07-3114:42

厂商回复:

谢谢,业务已经下线整改。

最新状态:

2015-07-31:已下线

评价

  1. 2010-01-01 00:00 Me_Fortune 白帽子 | Rank:144 漏洞数:18)

    鸿宇牛!

  2. 2010-01-01 00:00 默之 白帽子 | Rank:375 漏洞数:34)

    洞主你好,扫不同ip的80和8080端口使用什么?nmap吗?

  3. 2010-01-01 00:00 redrain有节操 白帽子 | Rank:168 漏洞数:23)

    @默之 nmap有点慢,自己写一个py流量代理进去扫

  4. 2010-01-01 00:00 默之 白帽子 | Rank:375 漏洞数:34)

    @redrain有节操 好,谢谢了

  5. 2010-01-01 00:00 小红猪 白帽子 | Rank:183 漏洞数:15)

    牛笔

  6. 2010-01-01 00:00 aNsSe 白帽子 | Rank:0 漏洞数:0)

    已学习

  7. 2010-01-01 00:00 BeenQuiver 白帽子 | Rank:50 漏洞数:6)

    不得了,单点登录ldap协议