当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-037729

漏洞标题:it168/51cto/opera等多个厂商memcache端口对外开放(批量检测实例)

相关厂商:cncert国家互联网应急中心

漏洞作者: farmer

提交时间:2013-09-21 23:23

修复时间:2013-11-05 23:23

公开时间:2013-11-05 23:23

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-09-21: 细节已通知厂商并且等待厂商处理中
2013-09-26: 厂商已经确认,细节仅向厂商公开
2013-10-06: 细节向核心白帽子及相关领域专家公开
2013-10-16: 细节向普通白帽子公开
2013-10-26: 细节向实习白帽子公开
2013-11-05: 细节向公众公开

简要描述:

简单脚本实现:批量检测存在对外开放memcache的厂商

详细说明:

1.抓乌云厂商域名,抓后使用grep awk把域名提取出来,excel分列功能也可以,略过

#!/bin/bash
for ((i=1;i<24;i++))
do
curl http://www.wooyun.org/corps/page/$i|grep nofollow >> wooyun.txt
done


2.域名解析为IP地址,获取厂商所在的IP段。

#!/bin/bash
while read oneline
do
dig ${oneline}|grep IN|grep A|tail -n 1|awk '{printf $5"\n"}' >> ip.txt
done < wooyun.org.txt


3.批量扫描开放11211的端口的IP

#!/bin/bash
while read oneline
do
nmap -sT -p 11211 ${oneline}/24 >> 11211.txt
done < ip.txt


扫描后的结果如下:

Interesting ports on 220.181.xx.xx:
PORT STATE SERVICE
11211/tcp filtered unknown


需要简单处理下,获取open标识的IP

cat 11211.txt |grep -v PORT|tr -t '\n' ','|sed 's/unknown/\n/g'|grep open


注意:脚本中扛n 被乌云转换成扛扛n了

漏洞证明:

筛选了一些结果如下:

宜搜 118.145.13.3 
http://moto.it168.com/
,,Interesting ports on 219.148.35.195:,11211/tcp open
,,Interesting ports on 219.148.35.196:,11211/tcp open
opera.com
,,Interesting ports on s-02-08.opera.com (195.189.143.156):,11211/tcp open
,,Interesting ports on 195.189.143.157:,11211/tcp open
,,Interesting ports on p21-10.opera.com (195.189.143.159):,11211/tcp open
,,Interesting ports on h3.opera.com (195.189.143.164):,11211/tcp open
,,Interesting ports on h4.opera.com (195.189.143.165):,11211/tcp open
,,Interesting ports on h5.opera.com (195.189.143.166):,11211/tcp open
,,Interesting ports on h6.opera.com (195.189.143.167):,11211/tcp open
,,Interesting ports on h8.opera.com (195.189.143.169):,11211/tcp open
,,Interesting ports on h9.opera.com (195.189.143.176):,11211/tcp open
,,Interesting ports on p21-15.opera.com (195.189.143.186):,11211/tcp open
,,Interesting ports on p21-16.opera.com (195.189.143.187):,11211/tcp open
newsletter2.51cto.com 118.144.78.44


使用php程序连接:

it168.jpg

mx45.dns.com.cn.jpg

memcache.jpg

memcache.jpg

修复方案:

禁止外网访问缓存服务端口

版权声明:转载请注明来源 farmer@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-09-26 22:39

厂商回复:

CNVD确认并复现所述情况,对于所述案例评估构成部分信息泄露,但未对可用性\完整性构成影响.由于涉及案例较多,暂无法一一处置.不过对于这种批量获取检测的方式,在面向互联网目标的预警中有重要的意义.
rank 20

最新状态:

暂无