517旅行网某服务器弱口令导致内网信息泄露

0x00随便说说:找厂商确认这台服务器是他们的

厂商的反射弧有点长呦，不过好歹知道这台服务器是他们的了。0x01 漏洞点:之前在找517na C段的时候发现一台服务器118.114.245.80，扫描的时候1234端口无法识别，根据观察，像是一个web的端口，于是浏览器连接。

http://118.114.245.80:1234/需要登陆，尝试弱口令 admin/admin ，直接进入，发现是路由器管理界面。

由于当时不确定这台机器是否是517na的，所以就暂时搁置了，先记录下来，然后找别的网站了。0x02 路由器命令执行当第二天有空之后登陆上了路由器，报着试一试的心态，去ping和tracert那里试了试命令执行，burpsuite截断发包成功。

当时很高兴，还以为我发现了一个通用型的命令执行漏洞，结果提交之前wooyun搜索了一下 WooYun: 飞鱼星上网行为管理路由器命令执行漏洞 ，心里瞬间就QAQ了。0x03 确认是517na的服务器确认的过程有点漫长，所以至今才发这个漏洞。在观光完路由器的web配置页面之后，发现了报文捕获这个功能。

利用这个功能，不停地抓经过路由器的数据包。发现了大量的haoxiana.com的包(这里的包的内容大多都是查询保险之类的包)。就在我快要放弃的时候，我发现了：

然而pt.gq.517na.com应该是内网环境，所以无法访问。之后就是0x00里面提到的我给厂商发私信问是否是他们的服务器，得到了肯定的答复。0x04 信息泄露最后是信息泄露，这部分是路由器的配置界面的泄露数据内部人员QQ

端口映射

涉及到不少业务的端口，有支付的，有京东的，也有远程连接的。

记录下可远程连接的端口，但是hydra爆破总是出错，于是就放弃了。并没有大规模爆破账号密码。其它

这里发现绑定了两个wan口，于是尝试登陆119.6.84.74:1234同样成功。

打开内网监控就可以看到，内网活跃主机感觉还不少

对于活跃主机，还可以看连接情况。0x05 失败的一些事1.这个应该是一个阉割过的linux系统，当我第一次命令执行的时候，居然没有ifconfig.2.我发现该系统上运行着ssh,找到ssh配置文件，发现打开端口10089，然而这个阉割版的系统成功阻止了我一句命令直接添加用户，之后又想通过改ssh配置文件，空密码登陆，然而该系统不支持">>"再一次阻止了我。最后通过sed终于将内容添加进去，然而最后我还是登陆不上去（还没有找到原因），我放弃了。。。。。3.该路由器会在每天晚上四点准时重启，并且每次重启，都跟重新安装系统一样，什么东西都变成最初始的。4.不得不跟厂商说一声抱歉，23号晚上你回复了我之后我就又上这台路由器看了看，凌晨之后然后在上文提到的报文分析处burpsuite出直接抓取100000个包，结果还剩49000个的时候路由器就直接跪了。24号上午再去看的时候才回复过来。

弱口令 admin/admin路由器后台命令执行

最后，对于24日凌晨不小心把这个路由器弄跪了表示十分抱歉。

1.更新路由器系统，据说厂商在新版本系统中已修复命令执行的问题。2.更改弱口令。敢不敢有一个强密码。

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2015-07-2619:10

厂商回复：

感谢你对517的关注

最新状态：

暂无

1. 2010-01-01 00:00 Mr.Q 白帽子 | Rank:178 漏洞数:16)

   mark

2. 2010-01-01 00:00 大物期末不能挂 白帽子 | Rank:128 漏洞数:13)

   @[email protected] 洞既然过了能否对图中的部分信息打码呢？感觉图发的有点多，可能泄露厂商一些信息。

3. 2010-01-01 00:00 Ton7BrEak 白帽子 | Rank:128 漏洞数:8)

   这种发洞精神，值得我学习~mark