内网安全之畅途网弱口令引发的血案(内网漫游篇)

漏洞概要

缺陷编号:WooYun-2015-0130450

漏洞标题:内网安全之畅途网弱口令引发的血案(内网漫游篇)

相关厂商:畅途网

漏洞作者:missy

提交时间:2015-07-30 15:16

公开时间:2015-09-13 21:02

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-07-30: 细节已通知厂商并且等待厂商处理中
2015-07-30: 厂商已经确认,细节仅向厂商公开
2015-08-09: 细节向核心白帽子及相关领域专家公开
2015-08-19: 细节向普通白帽子公开
2015-08-29: 细节向实习白帽子公开
2015-09-13: 细节向公众公开

简要描述:

少年拿起你手中的武器跟我战斗吧

详细说明:

先从这个弱口令说起,

这个弱口令跑了一批,随便找了一个进去,然后找地方上传,getshell.

应该还有一些没有测试.getshell比较容易,找对地址就可以.这里就不在赘述了

查看了下内网,root权限,然后代理,直接杀进内网.

扫下端口,看看环境,好多开了web但是空白,可能是测试页面.没有具体深入.

这个也是弱口令直接杀进去,跟外网的是一个IP,这个端口应该是开放内网使用的.然后找到一个manggoDB的.看到一些信息,没找到有价值的东西.

这个root用户记得是从shell里翻出来的,不记得在那个位置了,但是这个会起到重要的关键,至于为什么,看后面收集不到有价值的东西怎么办,不甘心,继续.然后各种翻各种穿插.终于搞到几台服务器

这台显然是财务的服务器,没有细看,信息太过敏感.

还有几台就不贴图了.到了这里差不多已经略有收货了,但这些始终不是我们想要的.有人说可以去服务器抓密码hash了,这个段开终端的服务器太少,抓了也起不了太大的作用.因为我们现在针对的是linux机器.发现几十台linux机器开放的22端口.从收集的信息来猜也没猜到一台,看来是不行.想开嗅探,但反应太大,没敢去开.还是慢慢来,感觉有条线越来越近了.回过头来,我们继续看web.

这里找到个论坛,一看是dz x2的版本.百度了一下后台getshell的方法.一种是,自带的转换工具getshell,一种是改包包含的,第一站,这个明显是没有自带的.尝试第二种,也不成功.为什么会这样.....身为一名白帽子,白帽子的直觉告诉我这上面一定有东西.看着ip反复默念着100,100,100,100那么熟悉,马上回去翻信息.找到了那个root,马上练上去,去找对应网站数据库,上面好多数据库,但是不知道域名,翻文件,各种猜还是不行.本想着找到其他的域名然后搞进去,看来不行呀.这时候一个灵感来了,有了root权限直接写shell吧,然后找了下dz x2的暴路径

路径出来了,直接写一句话上去,然后就很顺利的搞定

连接上去看下有没有想的重要的信息,看到之后直接吓尿了.那个服务器密码文档直接让我跪了.

二话不说下载下来,带着鸡冻的心去打开,一打开直接尿了,居然加密的,但这难不住我们,马上解密,分分钟钟.打开一看真的吓尿,所有服务器信息一览无遗.各种配置信息,账号密码信息.而且是不止一个段,这里信息太过敏感,就不贴那么多了.

来两张蓝图压压精

到了这里感觉已经没有激情了,结束了,就这样结束了.

随便贴几台,其他的就不贴了.

漏洞证明:

测试完之后,已经删除了所有信息跟文件,没有保留任何信息谢绝水表.

修复方案:

有必要重新对内网做下加固重要信息不要放在服务器上密码策略太过统一外网安全力度不够需要改善口令加强.员工安全意识加强

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-07-3021:01

厂商回复:

非常感谢对畅途网安全的关注。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 终于明白 白帽子 | Rank:8 漏洞数:2)

    内网代理是怎么做的

  2. 2010-01-01 00:00 Jumbo 白帽子 | Rank:52 漏洞数:5)

    咋解密的

  3. 2010-01-01 00:00 missy 白帽子 | Rank:170 漏洞数:14)

    @终于明白 代理是reGeorg

  4. 2010-01-01 00:00 missy 白帽子 | Rank:170 漏洞数:14)

    @Jumbo 解密是百度找的,具体什么名字不记得了。你百度一下xls解密工具就可以找到.