由一个弱口令进而对链家的一次简单内网漫游

漏洞概要

缺陷编号:WooYun-2015-0130301

漏洞标题:由一个弱口令进而对链家的一次简单内网漫游

相关厂商:homelink.com.cn

漏洞作者:默之

提交时间:2015-07-29 20:13

公开时间:2015-07-30 12:21

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经修复

Tags标签:

漏洞详情

披露状态:

2015-07-29: 细节已通知厂商并且等待厂商处理中
2015-07-30: 厂商已经确认,细节仅向厂商公开
2015-07-30: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

由一个弱口令进而对链家的一次简单内网漫游

详细说明:

地址:http://119.254.70.177/lianjia/login/login不多说,你们的开发直接就把密码贴上了

#1.Getshell之后登陆后台,上传处没有进行强制命名和进行文件类型以及内容检测,直接就可以上传jsp文件。

传了好几个,审核帅哥别怪啊

找到一些配置文件,这台机器的ip就是10.10.28.11

还有几个,就不一一贴出来了

#2.内网漫游根据http://www.fang360.com/的入口网址,内网可以登陆多个站点

链家地产,销售交易系统:http://se.homelink.com.cn/SalesMgr-Web/login.jsp链家OA:http://eoffice.homelink.com.cn/login/Login.jsp?logintype=1&gopage=/homepage/Homepage.jsp?hpid=462&subCompanyId=1&isfromhp=1&isfromportal=0EHR系统:http://ehr.homelink.com.cn/psp/HR91PRD/?cmd=login&languageCd=ZHS&(已登录系统,默认密码test/123456,可查询公司花名册(包含各个员工的信息),薪资以及公共资源配置,已得到左晖董事长的联系方式)IT运维管理站点:172.16.0.107好了,开始贴图

EHR系统一览

就这样了,能力有多大,就有多深入

漏洞证明:

修复方案:

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-07-3009:45

厂商回复:

谢谢,马上修复。

最新状态:

2015-07-30:已下线处理

评价

  1. 2010-01-01 00:00 爱上平顶山 白帽子 | Rank:2224 漏洞数:244)

    还是没修复的那个吧? 呵呵

  2. 2010-01-01 00:00 默之 白帽子 | Rank:375 漏洞数:34)

    @爱上平顶山 不是的,又一个

  3. 2010-01-01 00:00 爱上平顶山 白帽子 | Rank:2224 漏洞数:244)

    @默之 o 他们那个还没改 根本不改 没救了

  4. 2010-01-01 00:00 默之 白帽子 | Rank:375 漏洞数:34)

    @爱上平顶山 我也觉着是,给他们说了n遍,跟进速度太慢。前几天跟那边运维聊天,说是运维换了一下,过些日子应该会改变一些。链家的漏洞太多,而且他们也不重视,要不忽略要不给的分数特别低,现在手里还有三个shell的,不知道要不要提交

  5. 2010-01-01 00:00 Power 白帽子 | Rank:29 漏洞数:7)

    链家就那样,无所谓的态度

  6. 2010-01-01 00:00 默之 白帽子 | Rank:375 漏洞数:34)

    进入内网是使用reGeorg代理,关于他的安装使用http://blog.okbase.net/webvul/archive/4599.html,在使用nmap过程中,配置proxychains没有成功,所以没探测内网存活主机。

  7. 2010-01-01 00:00 Budi 白帽子 | Rank:61 漏洞数:4)

    不错。。。。

  8. 2010-01-01 00:00 sOnsec 白帽子 | Rank:61 漏洞数:7)

    给的rank略低

  9. 2010-01-01 00:00 默之 白帽子 | Rank:375 漏洞数:34)

    @sOnsec 他们现在对shell这种貌似不喜欢,跟喜欢sql注入的那种。

  10. 2010-01-01 00:00 huafu 白帽子 | Rank:0 漏洞数:0)

    给的rank低了,链家还是对漏洞无所谓啊

  11. 2010-01-01 00:00 别在说 白帽子 | Rank:35 漏洞数:6)

    这漏洞............看完醉了

  12. 2010-01-01 00:00 evethunder 白帽子 | Rank:0 漏洞数:0)

    给少了,漏洞太便宜了

  13. 2010-01-01 00:00 http://www.wooyun.org/corps/北京链家房地产经纪有限公司 白帽子 | Rank:0 漏洞数:0)

    @默之 多谢你提供的漏洞,关于链家的漏洞,我们内部正在积极处理,“要不忽略要不给的分数特别低” 请问这个分数是在哪里给呢? 此漏洞我们非常关注。另:你手中还有3个shell的漏洞,是否可提交呢? 辛苦了。