当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-076453

漏洞标题:小米内网漫游记(一个弱口令导致各种内部系统泄露)

相关厂商:小米科技

漏洞作者: 临时工

提交时间:2014-09-18 09:49

修复时间:2014-11-02 09:50

公开时间:2014-11-02 09:50

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-09-18: 细节已通知厂商并且等待厂商处理中
2014-09-18: 厂商已经确认,细节仅向厂商公开
2014-09-28: 细节向核心白帽子及相关领域专家公开
2014-10-08: 细节向普通白帽子公开
2014-10-18: 细节向实习白帽子公开
2014-11-02: 细节向公众公开

简要描述:

有时候安全就疏忽在几个点上,不是光靠管理就能搞定。
本次案例能够成功,就是因为各种条件达成,安全风险就暴露出来。
企业通病:突破边界(边界的安全应该达到网银安全的级别,呵呵)

详细说明:

1.突破vpn边界:vpn地址的获取起到了关键作用
突破之前要先知道vpn的地址,这个是机缘巧合,大概一年前检测某垃圾医院网段的时候,扫到小米的vpn地址,当时感觉也没啥用,但还是收藏起来了。(扫一下网段你就看到那个医院了)

011.jpg


2.最近看到很多git、大数据可以搞到很多大公司的员工邮箱密码,想想自己能否也搞一下,并没有太多收获,看到之前小米的一些案例可以知道,小米员工密码都是相对较强,大小写字母、数字、特殊字符等等,看似很安全,但是在强密码池中依然有常用的,通过各种方法(包括大数据支持)搜集小米公司的常用强密码,这里列举与一个:Xiaomi11,小米公司入职离职几千人,这个应该是入职时常用的初始密码,我猜可能还用过Xiaomi22、Xiaomi33...
这里面举个例子,账号:wanglisha 密码:Xiaomi11
登录邮箱试试:没有什么敏感的邮件

0.jpg


可以找回她的京东账号了,怎么用公司邮箱注册京东呢

0.1.jpg


0.2.jpg


可以看出,公司对密码要求还是很严格的,但只要是人参与,依然会有纰漏

0.3.jpg

漏洞证明:

3.两个条件达成,危害就显现出来了,不要以为只是个邮箱泄露那么简单,接下来是企业通病,单点登录,全线业务都ok
vpn地址有了,账号有了,开始内网漫游

1.jpg


内部员工交流平台:

2.jpg


继续深入,领个F码如何

1.2.jpg


内部员工信息泄露

3.jpg


4.jpg


内部办公平台:很多懒得搞了,就都只是看看

10.jpg


这个项目管理系统,没搞了,账号现成的、弱口令肯定很多,没搞

6.jpg


5.jpg


7.jpg


8.jpg


9.jpg


系统太多,没搞

11.jpg


12.jpg


小米内部论坛,这里面3564的用户,好大的公司吖

a.jpg


b.jpg


看到很多首字母是V,是外包的员工吧,这也是一个应该考虑的安全风险。

c.jpg


下面这个重点说下,打包的工具,是不是可以把改好的应用集成到电视里吖,这个危害挺大吖

k.jpg


l.jpg


http://10.237.32.105/ 这个是ZABBIX,还是个有sql注入的版本,呵呵
4.看了下子域名mioffice.cn,当然还有其他小米内部域名mitvos.com、mi1.cc等

d1.jpg


这里面有个share的域名,经验告诉我(在大型甲方公司),这个域名是可以局域网访问的
非http,于是...

d.jpg


e.jpg


g.jpg


h.jpg


最后以雷总一张笑脸结束检测,没有再继续了,只看了两三个网段的服务,如果继续应该会有更多有意思的东西,系统太多了,

j.jpg


友情检测,没有带走什么数据,切勿追责

修复方案:

你会发现问题总是出在人身上,其实不然,很多东西技术是可控的,如果vpn多一层手机验证、动态口令验证,哪有这么多事
还有,千万不要小看一个低权限账户的威力

版权声明:转载请注明来源 临时工@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-09-18 10:49

厂商回复:

我们会加强VPN系统,邮件系统的认证,以及内部员工的安全意识培训。
感谢对小米安全的关注!

最新状态:

暂无