从一个默认口令到youku和tudou内网(危害较大请尽快修复)

漏洞概要

缺陷编号:WooYun-2013-019917

漏洞标题:从一个默认口令到youku和tudou内网(危害较大请尽快修复)

相关厂商:优酷

漏洞作者:X,D

提交时间:2013-03-11 16:52

公开时间:2013-04-25 16:53

漏洞类型:应用配置错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2013-03-11: 细节已通知厂商并且等待厂商处理中
2013-03-11: 厂商已经确认,细节仅向厂商公开
2013-03-21: 细节向核心白帽子及相关领域专家公开
2013-03-31: 细节向普通白帽子公开
2013-04-10: 细节向实习白帽子公开
2013-04-25: 细节向公众公开

简要描述:

俺是一个youku用户,几天前发现了youku一个漏洞,最近忙其他事情,懒得深入了,今天有空来提交下,
做了进一步的测试,测试步骤会我会详细列出,希望这么大的公司尽快注意安全啊

详细说明:

习惯性的ping一下。ping youku.com 一般情况下,www.youku.com 会走CDN youku.com应该不会吧

扫一扫,扫了一个C 80端口无明显漏洞,然后扫8080存在问题的是123.126.99.76 8080 Open这是一个zenoss 的监控系统,默认密码没有改,导致此次渗透login admin/zenoss最初对zenoss了解太少,经过进一步的研究发现可以得到shellzenoss有一个Commands功能,可以执行任意命令。

需要将命令改成自己需要的在执行命令的时候 需要找一个被监控的机器

反弹后得到shell

一看有内网IP,于是进行了进一步渗透测试,但是让我很郁闷的是,没有使用类似zabbix,puppet,ldap等类似权限较大的东西。渗透起来比较费劲。不过好在有IP信息。到这里想起 剑心大牛在zone发表的一篇文章http://zone.wooyun.org/content/1693边界神器,低权限开socks5代理。但是执行报错,没有安装依赖包,我也没有root权限。执行二进制文件都缺少依赖包,在这里提醒我,以后linux安全可以考虑把这些依赖包删除,防止别人提权。zenoss很多都是运用python来监控,自然zenoss这个用户肯定有运行python的权限。于是拿出另外一个边界神器py版开socks代理代理开启之后,又遇到一个问题,端口被档掉了。似乎整个C端对外开放的只有80,8080,81 三个端口。8080和80端口被占用了,在81端口启代理失败的。于是随便启了端口,然后利用端口转发,把代理端口转发到公网来。使用ProxyCap代理指定的程序有了代理之后,开始对内网进行端口扫描,根据服务器的last记录 确定登陆服务器的来源

IP 10.10.66.106对10.10.0.0/16 进行3389和1433端口扫描nmap -Sv -p 1433 10.10.0.0/16 -oX 1433log.log有十来个机器开了1433端口 通过之前的代理 使用查询分析器挨个试弱口令。最后确认10.10.111.100 sa 空密码。3389也开着。直接添加了一个youku的用户。通代理直接登陆到该服务器。到了这里之后,进行了其他弱口令的扫描10.10.65.92 "root/123456"10.10.65.129 "root/111111"10.10.65.133 "root/123456"10.10.221.61 "root/123456"10.10.221.63 "root/123456"10.10.236.11 "root/123456"以上的这些机器似乎都没有外网IP。干不了其他事情。继续挖边界漏洞。经过一些web漏洞的挖掘 10.5.*.* 这个是土豆的内网。10.5.111.2910.5.105.2这两个机器也有sa 弱口令,具体什么命令我也忘记了利用远程管理卡默认口令,找到这么一个服务器。远程管理卡的IP我给忘记了。只记得物理IP(修漏洞的时候,你们自己找找吧)10.105.60.62 外网IP:220.181.154.91/123.126.98.141(这个机器留有rootkit麻烦及时清理)通过该服务器 做了一个socks5代理,代理端口8080,因为防火墙对8080没有限制,所以这里代理端口我用了8080启这个代理是为了不通过端口转发直接连接内部的服务器。后续找了些其他的漏洞,10.103.13.33 Hudsonjava.lang.Runtime.getRuntime().exec('id')Hudson 也是可以执行任意命令的,(你们自己加个认证吧)AD域,进到10.10.111.100 这个服务器之后发现,很多加域的服务器都在10.10.0.* 这个段。于是想通过一个web漏洞或其他漏洞拿到10.10.0.*任意个服务器的权限,这样可以离拿到域的控制权更近一步。经过痛苦的扫描,找到这么一个问题。10.10.0.13 sa 1QAZ2wsx弱口令吧,连接上去之后发现域管理员administrator 也在线。(感慨一下,安全意识啊)于是,开启了这个服务器的shift后门,直接切到域管理员。至于然后,你们都懂了......

漏洞证明:

如上;

修复方案:

撸过,修复方案你们懂的,带来困扰请谅解

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-03-11 16:57

厂商回复:

马上修复

最新状态:

暂无

评价

  1. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    貌似那个任意修改密码的还没修哪....

  2. 2010-01-01 00:00 Jannock 白帽子 | Rank:2116 漏洞数:212)

    这个牛。。。

  3. 2010-01-01 00:00 X,D 白帽子 | Rank:108 漏洞数:7)

    我日,,忘记问礼物了,,youku这个你得表示下吧。

  4. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @X,D 顺便给乌云发送一批vip好咩?

  5. 2010-01-01 00:00 疯狗 白帽子 | Rank:22 漏洞数:2)

    到youku和tudou内网,他们IDC是相通的?隔壁?又是一篇大作啊,关注!

  6. 2010-01-01 00:00 se55i0n 白帽子 | Rank:1483 漏洞数:156)

    关注

  7. 2010-01-01 00:00 X,D 白帽子 | Rank:108 漏洞数:7)

    @优酷 ,看你的了,来一批VIP,渗透测试很累的有木有?@xsser

  8. 2010-01-01 00:00 小胖子 白帽子 | Rank:1429 漏洞数:107)

    关注。。。

  9. 2010-01-01 00:00 Blackeagle 白帽子 | Rank:62 漏洞数:10)

    果断mark 坐等洞主的vip

  10. 2010-01-01 00:00 X,D 白帽子 | Rank:108 漏洞数:7)

    优酷 说vip不好送,据说送点个U盘到wooyun集市。换吧

  11. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    先关注下。。

  12. 2010-01-01 00:00 rootsecurity 白帽子 | Rank:76 漏洞数:19)

    围观

  13. 2010-01-01 00:00 possible 白帽子 | Rank:296 漏洞数:31)

    好牛的过程

  14. 2010-01-01 00:00 浩天 白帽子 | Rank:851 漏洞数:68)

    撸主,真尼玛牛逼

  15. 2010-01-01 00:00 wefgod 白帽子 | Rank:1438 漏洞数:124)

    这个分析的好。要花不少的时间啊!某库已经在手了吧…………

  16. 2010-01-01 00:00 stephanie 白帽子 | Rank:113 漏洞数:18)

    我日,类似监控系统不做源ip限制呀

  17. 2010-01-01 00:00 qiaoy 白帽子 | Rank:116 漏洞数:15)

    不错!

  18. 2010-01-01 00:00 Z-0ne 白帽子 | Rank:499 漏洞数:39)

    非常给力的过程

  19. 2010-01-01 00:00 非米特尼克 白帽子 | Rank:111 漏洞数:11)

    花了不少时间,呵

  20. 2010-01-01 00:00 blrk 白帽子 | Rank:35 漏洞数:3)

    膜拜~~

  21. 2010-01-01 00:00 ‫‌ 白帽子 | Rank:76 漏洞数:14)

    @X,D 那就让送塞

  22. 2010-01-01 00:00 小仙仙 白帽子 | Rank:19 漏洞数:7)

    膜拜

  23. 2010-01-01 00:00 iskit 白帽子 | Rank:5 漏洞数:1)

    洞主过程很犀利

  24. 2010-01-01 00:00 jing 白帽子 | Rank:6 漏洞数:1)

    教训是一定要改默认密码啊~

  25. 2010-01-01 00:00 无敌L.t.H 白帽子 | Rank:21 漏洞数:4)

    很多厂商内网都很脆弱,我这能VPDN进去的内网都是一日千里。

  26. 2010-01-01 00:00 墨水心_Len 白帽子 | Rank:70 漏洞数:15)

    V5...

  27. 2010-01-01 00:00 suclogger 白帽子 | Rank:0 漏洞数:1)

    开启了这个服务器的shift后门,直接切到域管理员。

    这个是怎么实现的呀~

  28. 2010-01-01 00:00 xfkxfk 白帽子 | Rank:1829 漏洞数:172)

    这过程,这思路,给力,目测大牛的干活!!!

  29. 2010-01-01 00:00 gainover 白帽子 | Rank:1331 漏洞数:97)

    前来膜拜+学习

  30. 2010-01-01 00:00 X,D 白帽子 | Rank:108 漏洞数:7)

    @gainover 惊动了gn 受宠若惊!

  31. 2010-01-01 00:00 冰锋刺客 白帽子 | Rank:100 漏洞数:15)

    很强大

  32. 2010-01-01 00:00 偉哥 白帽子 | Rank:65 漏洞数:10)

    我日,个人觉得像这样的,应该直接RMB补贴!
    要不然,碰上黑帽子就脱库卖钱了……

  33. 2010-01-01 00:00 小震 白帽子 | Rank:4 漏洞数:1)

    膜拜= = 。。。

  34. 2010-01-01 00:00 陈再胜 白帽子 | Rank:101 漏洞数:13)

    我竟然看懂了!

  35. 2010-01-01 00:00 cnbird 白帽子 | Rank:416 漏洞数:46)

    边界神器py版开socks代理
    http://www.80vul.com/src/s5.py
    是说的这个吗?

  36. 2010-01-01 00:00 Major 白帽子 | Rank:40 漏洞数:6)

    大作!膜拜!

  37. 2010-01-01 00:00 xsleaf 白帽子 | Rank:52 漏洞数:5)

    大作!渗透需要下辛苦啊!!

  38. 2010-01-01 00:00 慕林 白帽子 | Rank:8 漏洞数:1)

    很清晰的分析与表达, 膜拜~~~~

  39. 2010-01-01 00:00 solihat 白帽子 | Rank:10 漏洞数:2)

    @X,D 求边界神器py版本及linux普通权限端口转发方法

  40. 2010-01-01 00:00 saline 白帽子 | Rank:204 漏洞数:22)

  41. 2010-01-01 00:00 x1aoh4i 白帽子 | Rank:360 漏洞数:44)

    @X,D 膜拜 牛的一比啊 真心大作

  42. 2010-01-01 00:00 专业种田 白帽子 | Rank:1371 漏洞数:151)

    看来非业务的东西都不放外网了

  43. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @专业种田 种田种这么久还不懂这个道理啊

  44. 2010-01-01 00:00 专业种田 白帽子 | Rank:1371 漏洞数:151)

    @xsser 谢谢点醒,有时候种了土豆,忘了马铃薯,以后得科学种田。

  45. 2010-01-01 00:00 X,D 白帽子 | Rank:108 漏洞数:7)

    @solihat http://zone.wooyun.org/content/1693

  46. 2010-01-01 00:00 X,D 白帽子 | Rank:108 漏洞数:7)

    @cnbird 应该是这个,zone里面我也有说到的
    http://zone.wooyun.org/content/1693

  47. 2010-01-01 00:00 solihat 白帽子 | Rank:10 漏洞数:2)

    @X,D 端口转发用的是啥神器?webshell自带那种转发感觉不稳定,老掉线

  48. 2010-01-01 00:00 hacker@sina.cn 白帽子 | Rank:218 漏洞数:22)

    跪了, 求弱口令密码字典

  49. 2010-01-01 00:00 syjzwjj 白帽子 | Rank:27 漏洞数:3)

    学习了

  50. 2010-01-01 00:00 luwikes 白帽子 | Rank:415 漏洞数:42)

    mark

  51. 2010-01-01 00:00 小贱人 白帽子 | Rank:4 漏洞数:3)

    mark

  52. 2010-01-01 00:00 bitcoin 白帽子 | Rank:290 漏洞数:36)

    学习了!