记一次成功的漫游人人网内部网络至主站沦陷(人人/56网用户告急)

漏洞概要

缺陷编号:WooYun-2015-0121016

漏洞标题:记一次成功的漫游人人网内部网络至主站沦陷(人人/56网用户告急)

相关厂商:人人网

漏洞作者:蓝冰

提交时间:2015-06-17 08:29

公开时间:2015-08-01 09:50

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-06-17: 细节已通知厂商并且等待厂商处理中
2015-06-17: 厂商已经确认,细节仅向厂商公开
2015-06-27: 细节向核心白帽子及相关领域专家公开
2015-07-07: 细节向普通白帽子公开
2015-07-17: 细节向实习白帽子公开
2015-08-01: 细节向公众公开

简要描述:

总结这次渗透测试就是 信息收集和撞库
审核求赐一道闪电
PS:未动一丝数据 勿查水表

详细说明:

0x00内网入口点首先发现一个人人开放平台文档系统http://wiki.dev.renren.com通过翻找链接,找到一处用户名泄露的页面http://wiki.dev.renren.com/wiki/Special:Listusers

看用户名命名方式,可猜测出这些用户是人人网员工的用户名接着通过扫描子域名发现一个排期系统.http://bb.renren.com/发现没有验证码可以进行暴力破解用户名是邮箱地址, 人人的邮箱后缀是 @renren-inc.com通过在开放平台得到的用户名 将两者拼接进行弱口令暴力破解成功爆出密码为 123456的用户进入系统后发现权限是管理员接着在后台发现了一处上传点 完全无过滤可上传一个JSP木马

然后菜刀连接

处于内网,而且是root权限然后在服务器翻找数据库,找到两枚

泄漏人人内部员工邮箱,由于密码是salt md5加密 不进行破解 利用此服务器跳进内网其中 10.22.198.16 数据库貌似是一个运维的,里面存有40多个数据库账号密码经测试可登录里面含有人人活动的一些数据.数据量大0x01进入内网利用reGeorg代理进内网首先把tunnel.jsp代理脚本放到网站服务器上然后连接过去

接着用一些socks代理软件连接本地2333端口就可以了至此内网漫游准备就绪0x02内网漫游经过人人漫游者前辈们的教训,为了防止被T没有立马开扫,首先去乌云收集一些人人内网的一些信息WooYun: 一次失败的漫游人人内网

#1拿到了一些内网的应用,那么先从这些应用开刀但这些应用meeting.renren-inc.comwe.renren-inc.com都跳转到了一个统一认证平台https://passport.renren-inc.com/由于有次数限制导致爆破不了,既然如此只能乖乖找漏洞很幸运的在密码找回处发现一个SQL注入

支持union查询通过注入找到两个比较重要的表sysuser 用户密码表(md5加密)logonlog 登录历史表 里面存有base64编码的密码 也就是说可以看到任意员工的密码的变换过程有助于后续的撞库攻击

从库中破了 sysadmin2这个用户的密码 进行登录

OA系统,管理员权限

会议室预定系统

资产管理系统

#2接着找到一个bbs论坛dz7.2http://bbs.renren-inc.com存在faq.php的注入,通过注入拿到了uc_key但是config.inc.php没有写入权限,getshell失败随后发现该站登录也是通过统一认证平台于是首先通过注入列出所有论坛管理员的邮箱然后通过邮箱在利用统一认证的注入漏洞,破解出密码登录到bbs论坛接着后台登录,利用后台xml上传一个phpwebshellgetshell成功

继续泄漏员工信息#3接着又找到一个dz7.2论坛http://daxue.renren-inc.com可惜的是faq.php文件被删但是dz7.2还有一个投票注入,需要积分50找到一个管理员,利用邮箱从统一认证平台登录到论坛发布投票进行注入,但数据库中的uc_key被加密是124位的导致利用不了都知道从前台登录后台需要重新输入一次密码,而我是直接从认证平台登录的而且管理员密码也破解不出来,所以进不了后台纠结了一阵,扫了一下目录发现存在test.php 是phpinfo信息,拿到网站物理路径数据库权限是root,刚好数据库与网站是同服.直接利用load_file()读取config.inc.php的uc_key利用uc_key成功getshell

数据库就不贴了,也是员工的到这 搜集过来的内网应用基本搞定于是无耻的接着在乌云收集人人网信息 233WooYun: 我是如何用最简单直接的方法进入人人网的(可导致内部信息泄漏)通过这里的信息 找到马**这个人的邮箱利用统一认证注入漏洞 找出这个人的密码,撞库发现不对随后查找logonlog表 发现这个人的密码变更规律 每次基本只改一位于是挨个试过去 成功登录邮箱

搜索vpn没有搜出来然后搜索密码 找到广告系统和密码也就是上面那个乌云链接里的广告系统登录进去发现该用户的权限是最高的

46652家广告,还可以对任意一个厂家广告进行管理继续搜索邮箱找到两个系统http://jira.d.xiaonei.com/ jira项目平台http://wiki.d.xiaonei.com Confluence 沟通协作平台两个系统共用一个账号,弱口令很严重jira

基本涵盖所有的项目Confluence 沟通协作平台

这里面猛料太多了,各种数据库密码,服务器信息和项目信息,对之后的渗透测试给予了很大的帮助从这个沟通协作平台搞到了一个vpn申请流程,并成功撞到了一个部门负责人的邮箱vpn的申请需要部门负责人的抄送登录邮箱搜索vpn,结果告诉我vpn的用户名是邮箱前缀和邮箱密码 23333333还是不够经验于是利用此人的邮箱账号密码成功登录vpn,之前那个代理脚本毕竟比不过vpn稳定果断连vpn杀入内网https://vpn.renren-inc.com/dana-na/auth/url_default/welcome.cgi?p=failed

利用沟通协作平台继续收集信息,并找出运维人员或者领导级的邮箱并进行撞库得到若干系统人人运维管理系统

服务器资产管理系统

目测涵盖了人人网所有正在使用的服务器离线数据平台

bugs报告平台

技术评级系统

这里猛料貌似也挺多PE系统(业务更新展示,修改报警)

Ganglia中的导航页,包含了外网各系统的链接

zabbix监控系统弱口令 admin/zabbix

服务器很多可反弹一个shell至于 zabbix agent能不能执行 没测试过 这玩意成功几率有点低......随手捡到一个,windows3389权限,貌似是网关?

0x03终极目标-人人主站之前通过翻找协作平台发现人人网用svn托管所有项目代码于是在协作平台搜索加翻找 找出主工程也就是主站的svn地址并在邮箱找到这么一个信息

由此可见每周都会进行一次代码更新,于是想到这么个思路找出主工程开发人员 并拿到svn权限,然后在svn留一个webshell这样等周三代码更新到线上环境后 主站也就随之沦陷了首先从协作平台找到一份表格 从中获取了负责主工程的一些名单利用此名单 继续撞库 进入邮箱 但是没找到有关svn的密码信息通过之前的邮箱信息收集 猜测 svn的用户名是邮箱前缀 密码是Kerberos认证的密码但是 Kerberos 的初始密码是通过手机发送的于是利用统一认证平台注入,找出密码变更规律猜测出svn 密码

然后留了一个 比较隐蔽的webshell之后就是漫长的等待了等待的同时继续信息搜集 在jira项目平台找到这么一个信息

这个ip地址也是指向的人人主站 并且可以正常登录然后周一的时候发现svn里的代码已经更新了等到周二 去试了下主站有没有更新结果没有,但10.4.22.51这个ip上更新了然后试了下 有没有带回webshell 结果报500错误 果然带来了PS:其实10.4.22.51相当于主站了有外网ip.另上图已说明从10.4.22.51获取上线,所以默认解析的主站ip沦陷是早晚的事,写该文的日期为周二,常规是周三会更新到线上环境

接着就是找数据库链接了,但翻了几个小时也没找到 netstat -an |grep 3306 是有连接的但就是找不到,于是在该服务器上执行tcpdump 然后登录一次主站,结束抓包

在数据包中找到了用户名和明文密码

把tcpdump数据包导入到wireshark中 发现是从10.3.16.222 返回了 数据库连接URL信息(ICEP协议是什么鬼…….)然后顺利连接数据库(数据库太多了….找出用户库也是一个苦力活啊)

人人手机注册用户千万

人人+56 总计数亿(人人手机用户也包括在这里)从数据库中找到了我12年注册的人人账号,密码破解出来正是我当时设置的密码人人网的肯定可以登录 至于56网被卖了具体不知道什么情况 但测试了几个56的均可登录,库应该还是比较新的

漏洞证明:

已证明

修复方案:

统一认证平台出漏洞往往是很致命的...还有就是弱口令问题把漏洞补完,并要求全体员工统一更换密码

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-06-1709:48

厂商回复:

非常感谢,我们尽快处理!

最新状态:

暂无

评价

  1. 2010-01-01 00:00 px1624 白帽子 | Rank:963 漏洞数:126)

    干得漂亮!

  2. 2010-01-01 00:00 PgHook 白帽子 | Rank:689 漏洞数:69)

    干得漂亮!

  3. 2010-01-01 00:00 Y4ngshu 白帽子 | Rank:30 漏洞数:3)

    终于来了!

  4. 2010-01-01 00:00 kow 白帽子 | Rank:25 漏洞数:2)

    居然没有打雷,不科学啊~~

  5. 2010-01-01 00:00 啊L川 白帽子 | Rank:136 漏洞数:15)

    干得漂亮!

  6. 2010-01-01 00:00 打电话叫人 白帽子 | Rank:0 漏洞数:0)

    干得漂亮!

  7. 2010-01-01 00:00 Jumbo 白帽子 | Rank:52 漏洞数:5)

    Niu

  8. 2010-01-01 00:00 猪猪侠 白帽子 | Rank:2932 漏洞数:249)

    这个标题,得长期蹲坑才能实现啊。

  9. 2010-01-01 00:00 Y4ngshu 白帽子 | Rank:30 漏洞数:3)

    @猪猪侠 洞主要约猪猪侠!!约约约么

  10. 2010-01-01 00:00 hkAssassin 白帽子 | Rank:295 漏洞数:28)

    这个标题,得长期蹲坑才能实现啊。

  11. 2010-01-01 00:00 小川 白帽子 | Rank:1367 漏洞数:158)

    你们都是大黑阔啊

  12. 2010-01-01 00:00 浅蓝 白帽子 | Rank:131 漏洞数:20)

    好叼

  13. 2010-01-01 00:00 wps2015 白帽子 | Rank:274 漏洞数:21)

    新手点赞

  14. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    干得漂亮啊

  15. 2010-01-01 00:00 牛 小 帅 白帽子 | Rank:407 漏洞数:34)

    卧槽 打雷了

  16. 2010-01-01 00:00 残废 白帽子 | Rank:163 漏洞数:19)

    干的漂亮 赤裸裸的啪啪

  17. 2010-01-01 00:00 小胖子 白帽子 | Rank:1429 漏洞数:107)

    人人网求1rank啊!

  18. 2010-01-01 00:00 niliu 白帽子 | Rank:1384 漏洞数:141)

    apt啊

  19. 2010-01-01 00:00 理工小强 白帽子 | Rank:0 漏洞数:0)

    Good Job

  20. 2010-01-01 00:00 啊L川 白帽子 | Rank:136 漏洞数:15)

    卧槽 下雨了

  21. 2010-01-01 00:00 疯狗 白帽子 | Rank:22 漏洞数:2)

    我以为是20,剩下5 rank是因为什么考虑?

  22. 2010-01-01 00:00 ucifer 白帽子 | Rank:58 漏洞数:9)

    卧槽,撸了多久~

  23. 2010-01-01 00:00 猪猪侠 白帽子 | Rank:2932 漏洞数:249)

    @疯狗 剩下5 rank是安全部门的尊严,给15表示出强烈的不服。

  24. 2010-01-01 00:00 牛 小 帅 白帽子 | Rank:407 漏洞数:34)

    @猪猪侠 @疯狗 打雷 是不是会翻倍奖励

  25. 2010-01-01 00:00 蓝冰 白帽子 | Rank:664 漏洞数:51)

    @ucifer 十多天 ~

  26. 2010-01-01 00:00 蓝冰 白帽子 | Rank:664 漏洞数:51)

    @疯狗 @猪猪侠 哈哈 这个解释好啊

  27. 2010-01-01 00:00 鸟云厂商 白帽子 | Rank:1196 漏洞数:106)

    收下我的膝盖吧

  28. 2010-01-01 00:00 ’‘Nome 白帽子 | Rank:57 漏洞数:7)

    @猪猪侠 你的回答好像有点欠佳,,,, 剩下3 rank 是运维人的尊严,, 2rank 是开发的尊严!

  29. 2010-01-01 00:00 蓝冰 白帽子 | Rank:664 漏洞数:51)

    @鸟云厂商 别闹大牛 :)

  30. 2010-01-01 00:00 子非海绵宝宝 白帽子 | Rank:1220 漏洞数:113)

    @猪猪侠 这个评论很wooyun

  31. 2010-01-01 00:00 秋风 白帽子 | Rank:372 漏洞数:32)

    NB!

  32. 2010-01-01 00:00 迦南 白帽子 | Rank:0 漏洞数:0)

    666666666666666666666666666

  33. 2010-01-01 00:00 叫我阿米 白帽子 | Rank:20 漏洞数:2)

    节奏微猛啊

  34. 2010-01-01 00:00 phith0n 白帽子 | Rank:644 漏洞数:62)

    这个是完全日穿了呀!!!欣赏楼主的思路!!

  35. 2010-01-01 00:00 蓝冰 白帽子 | Rank:664 漏洞数:51)

    @phith0n ph大大见笑了 核心就是好...能提前看漏洞 ^_^

  36. 2010-01-01 00:00 Oops 白帽子 | Rank:1 漏洞数:1)

    选择在周三更新是为啥。。

  37. 2010-01-01 00:00 玉林嘎 白帽子 | Rank:757 漏洞数:64)

    惨不忍睹!

  38. 2010-01-01 00:00 小胖子 白帽子 | Rank:1429 漏洞数:107)

    牛逼 学习了

  39. 2010-01-01 00:00 greg.wu 白帽子 | Rank:735 漏洞数:68)

    真是牛逼

  40. 2010-01-01 00:00 xsser_w 白帽子 | Rank:94 漏洞数:14)

    其实这个帖子曝光出来后 带的问题会更多,大家都知道主站的内网IP了。 也知道好多信息 人人网业务太多 一般人不会有那么多时间修改和整理这次渗透的全部信息。。 以后搞站的黑客可以更容易进去了 🙂

  41. 2010-01-01 00:00 蓝冰 白帽子 | Rank:664 漏洞数:51)

    @xsser_w 嗯 确实想的不够周到 欠考虑了

  42. 2010-01-01 00:00 xsser_w 白帽子 | Rank:94 漏洞数:14)

    @蓝冰 这个应该怪wooyun 没有周到的考虑到这些问题 只是知道曝光,但是业务这么多 改IP 会牵连一大堆的问题 有的时候改个密码都要通知好多

  43. 2010-01-01 00:00 qiaoy 白帽子 | Rank:116 漏洞数:15)

    真棒!

  44. 2010-01-01 00:00 Chu 白帽子 | Rank:47 漏洞数:7)

    搞人人千万不要异地登陆邮箱千万不要异地登陆邮箱不要异地登陆邮箱

  45. 2010-01-01 00:00 BeenQuiver 白帽子 | Rank:50 漏洞数:6)

    牛逼呀

  46. 2010-01-01 00:00 独孤小白兔 白帽子 | Rank:0 漏洞数:0)

    又要改密码了....心好累

  47. 2010-01-01 00:00 野驴~ 白帽子 | Rank:5 漏洞数:2)

    @独孤小白兔 在大牛面前改密码有用吗。注销都不一定能抹掉数据库。;)

  48. 2010-01-01 00:00 幻老头儿 白帽子 | Rank:80 漏洞数:5)

    @xsser_w 屌屌!

  49. 2010-01-01 00:00 answer 白帽子 | Rank:370 漏洞数:31)

    看来来晚了。。。。这么棒

  50. 2010-01-01 00:00 GrayTrack 白帽子 | Rank:59 漏洞数:7)

    非常精彩,太精彩的渗透了

  51. 2010-01-01 00:00 木马游民 白帽子 | Rank:8 漏洞数:2)

    6666666666

  52. 2010-01-01 00:00 Croxy 白帽子 | Rank:448 漏洞数:39)

    nice

  53. 2010-01-01 00:00 黑名单 白帽子 | Rank:52 漏洞数:8)

    楼主蹲坑至少一个月

  54. 2010-01-01 00:00 wy007 白帽子 | Rank:100 漏洞数:8)

    Well done!~