当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-043093

漏洞标题:一种方式可能毁灭北邮中心机房

相关厂商:北京邮电大学

漏洞作者: s0mun5

提交时间:2013-11-16 19:59

修复时间:2013-12-31 19:59

公开时间:2013-12-31 19:59

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-11-16: 细节已通知厂商并且等待厂商处理中
2013-11-20: 厂商已经确认,细节仅向厂商公开
2013-11-30: 细节向核心白帽子及相关领域专家公开
2013-12-10: 细节向普通白帽子公开
2013-12-20: 细节向实习白帽子公开
2013-12-31: 细节向公众公开

简要描述:

不用放火不用爆破,动动鼠标也可以毁灭大北邮。

详细说明:

某某某天,跟一北邮的朋友聊天,通过某种方式得到了他的出口IP地址,拿到地址后,淫荡的一天开始了。
一阵分析扫描后,定位到一个web系统 IT运维管理系统
http://114.255.40.138
很眼熟。经过分析加回忆,确实是见过,还得出来北邮、城市热点、网瑞达三角恋的关系,哈哈。
之前进入这套系统是使用弱口令,这次运气没那么好,没有猜到。
运气真的不好么?
看我找到了什么,
http://114.255.40.138/db.sql

114.255.40.138-db.sql.png


找到了默认的用户名密码,admin的密码解出后是wrdnms。
认证已经过期,只有一小部分功能可以使用,记忆中这套系统为静态注入,搞之。

114.255.40.138-member-ajaxpagememberedit-3'.png


114.255.40.138-member-ajaxpagememberedit-3' and 1=2 union select 1,2,3,4,5,user(),7,8 from mysql.user%2523.png


非root权限,放弃用注入拿shell的想法。(后来发现这套系统是统一配置的,数据库均为一键创建的低权限账号)
ckeditor也没找到可利用的,穷途末路的赶脚。
在近似神游的状态,无聊的连了一下ssh,无聊的输入了root,密码些了刚才解出来的wrdnms,我擦,就这么进去了!
谁说我运气不好,某的机油的话说的,我一直在用下半生的生命换来的人品在日站。

1111.PNG


dmz啊dmz,后来确认了下,北邮校内确实可以访问这个服务器的内网ip。
ssh tunnul进入内网,开扫。过程不再赘述。
经过一段时间的扫描,测试,内网中所有http banner为Apache/2.2.13(Red Hat)的
全部都是这套系统。并且成功利用这个密码拿到十几台机器的root权限。

漏洞证明:

仅仅拿到这十几台linux当然不能算毁灭。
继续往下搞。登陆了一个没有过期的系统。

22222.PNG


看到这个图,立马就感到高大上了。
这套系统比较牛逼,可以远程查看任何一台添加的设备的进程等信息。如果分析出过程,是不是可以远程命令执行呢?这个不研究了先

3333.PNG


4444.PNG


翻了一阵后,在虚拟化这个功能里有巨大发现。

555.PNG


土豪学校,完全吓尿的节奏。。。。
vcenter里的配置竟然明文存着密码。

6666.PNG


administrator
Chit@BUPT
用这个密码去登陆10.3.10.3,shit 登陆失败。。
但是用这个密码登陆了这么两台服务器
10.3.9.23 WSUS服务器,可以挂马么?呵呵。。
10.3.9.18 不知道干嘛的
想短期渗透,还不想搞破坏,下一步怎么做再次陷入了困境。
碰运气的心态,登陆了其他的几台IT管理系统,终于到了其中一台,找到了新的密码。
byr Wrd123!@#
vmdev byrdev123!@#
使用10.3.10.3 成功登陆vcenter服务器

777.PNG


北邮中心机房的三个集群现在都在手里了,可以随便改动任何一台服务器的配置,甚至删除。

888.PNG


现在可以称得上是毁灭性的了吧。
这个漏洞最大的贡献者网瑞达,再送你们几个漏洞。
/system/ajaxdownloadfile?path=../../../etc/passwd 任意文件下载
/system/filedir/back?path=../../../ 目录遍历
上传备份配合目录配置可以getshell。
域传送漏洞

9999.PNG


目测网瑞达就是北邮的一个下属公司。

修复方案:

记录txt再贴出来,你们一一改吧,自己继续排查。

入口 http://114.255.40.138 web ssh
10.3.9.12 web ssh
Apache/2.2.13(Red Hat)
10.3.19.101 ssh
10.3.19.104 ssh
10.3.19.106 ssh
10.3.19.109 ssh
10.3.19.114 ssh
10.3.19.115 ssh
10.3.19.116 ssh 
10.3.19.117 ssh
10.3.19.118 ssh
10.3.19.128 ssh
10.3.19.131 ssh
10.3.19.132 ssh
10.3.19.133 ssh
10.3.19.134 ssh
10.3.19.200 ssh
10.3.19.201 ssh
10.3.19.218 ssh
10.3.19.219 ssh
10.3.19.240 ssh
10.3.9.13 ssh
10.3.9.19 ssh 
123.127.134.17  10.3.19.219
123.127.134.25  10.3.19.218 
wrdnms
10.3.10.3
administrator
Chit@BUPT
/system/ajaxdownloadfile?path=../../../etc/passwd 任意文件下载
/system/filedir/back?path=../../../ 目录遍历
10.3.9.23 rdp
10.3.9.18 rdp
10.3.17.108 admin登陆来源
administrator Chit@BUPT
byr Wrd123!@#
vmdev byrdev123!@#
chit wrd@ZB2010
10.3.18.54 root hackbase

版权声明:转载请注明来源 s0mun5@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-11-20 17:42

厂商回复:

CNVD确认所述情况(部分涉及内部网络测试未进行复现),已经转报给前校长办公室工作人员,由其后续协调北京邮电大学网络运行管理部门处置。

最新状态:

暂无