当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0137786

漏洞标题:江苏有线苏州有线网络某漏洞导致内网漫游

相关厂商:江苏有线

漏洞作者: 纳米翡翠

提交时间:2015-08-29 11:18

修复时间:2015-10-13 21:54

公开时间:2015-10-13 21:54

漏洞类型:服务弱口令

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-29: 细节已通知厂商并且等待厂商处理中
2015-08-29: 厂商已经确认,细节仅向厂商公开
2015-09-08: 细节向核心白帽子及相关领域专家公开
2015-09-18: 细节向普通白帽子公开
2015-09-28: 细节向实习白帽子公开
2015-10-13: 细节向公众公开

简要描述:

耗时数周,经典回顾,精心打造,敬请期待》》》
一切都要从CM开始》》》
乌云君,不打雷、不下$$$合适吗?
恳请乌云,该漏洞如厂商未及时认领,请千万不要公开,影响太大

详细说明:

江苏有线苏州有线电视网络依托的是有线电视的cable线,通过docsis2.0协议传输网络,故事就从最接近用户的cable modem开始
之所有耗时数月,是因为对docsis的了解从零开始,自己不断摸索,走了非常多的弯路,要是有一个老师有多么的温馨。
1.了解身边的cable modem(想知道cable modem工作原理的,可以百度:cable modem工作原理)
现在家里用的cable modem是摩托的SB5101NE,网上找了一个配图,没错,一模一样:

QQ截图20150829085835.jpg


在看了无数文档之后得知,moto的cm(cable model的简称)有一个管理的IP地址:192.168.100.1,并得知默认情况下该cm开通了snmp,community为public
于是用mibbrowser查看该设备

QQ截图20150829090245.jpg


能查看到该cm获取到的ip地址,tftp的IP地址,dhcp服务器的ip地址还有该cm获取到的docsis配置文件

QQ截图20150829090834.jpg


从上图可以看到,我家里的有线带宽是10M,tftp拿到的配置文件是szcmsz10M_v2.0.bin,家里的网络多少M,全由这个配置文件说了算
szcmsz4M_v2.0.bin 对应的是4M的带宽
szcmsz8M_v2.0.bin 对应的是8M的带宽
szcmsz20M_v2.0.bin 对应的是20M的带宽
没错,换一个配置文件就可以免费提升带宽,但是最好不要这样做,因为那样做就违法了。
今天的重点并不是要介绍你怎么去免费提升你的带宽,而是由此拖出来的一系列有线带宽运维的问题。
2.从上面拿到的dhcp ip地址和tftp ip地址,可以大概猜测有线网络的服务应该是一个大的局域网范围,先用nmap对172.18.0.0/16这个段做个扫描,看能发现点什么

QQ截图20150829092643.jpg


通过扫描发现:
172.18.0.0段能访问的主机有823台,不排除里面有一些网络设备,不一定全是服务器

QQ截图20150829093257.jpg


开通22端口的149台

QQ截图20150829093525.jpg


开通80端口的21台

QQ截图20150829093642.jpg


开通8080的36台

QQ截图20150829094222.jpg


mssql 6台

QQ截图20150829094731.jpg


Mysql 11台

QQ截图20150829094842.jpg


疑似ESXI15台

QQ截图20150829094117.jpg


3.找到上面拿到的dhcp server的ip和 tftp的ip ,发现两个都是cisco的network registrar

QQ截图20150829092845.jpg


QQ截图20150829092904.jpg


4.构造弱口令:
通过真空密码字典生成器自定义字符串生成字典
5.使用生成的字典对上面的服务进行爆破

QQ截图20150829095801.jpg


QQ截图20150829100327.jpg


太幸运,密码如此简单

QQ截图20150829100116.jpg


6.通过测试发现,网络中有大量的register,还有一些旧版的,密码都相同

QQ截图20150829100727.jpg


QQ截图20150829100900.jpg


QQ截图20150829100915.jpg


QQ截图20150829101010.jpg


QQ截图20150829101438.jpg


QQ截图20150829101548.jpg


还有:
172.18.15.118
172.18.15.119
172.18.15.120
172.18.15.121
172.18.15.122
172.18.15.123
172.18.15.147
172.18.15.148
172.18.15.149
172.18.15.150
172.18.15.151
172.18.15.152
172.18.15.153
就不截图了
172.18.12.54是一个cacti的程序,且数据库存在弱口令,可直接getshell,可创建账号,可远程登录

QQ截图20150829102043.jpg


QQ截图20150828165032.jpg


【shell和账号已经删除】
172.18.12.90 ftp弱口令,大量内容可下载

QQ截图20150829102715.jpg


通过获取ftp的代码发现数据库连接字串,成功连接数据库,且可以进一步获取root权限

QQ截图20150829102856.jpg


172.18.14.195:8080 视频审核平台,用户名和密码写在代码里面,可直接登录

QQ截图20150829103331.jpg


QQ截图20150829103533.jpg


172.18.15.2 mysql root用户竟然没有密码

QQ截图20150829103716.jpg


http://172.18.15.2:6080 广电应用监控平台弱口令

QQ截图20150829103915.jpg


QQ截图20150829104021.jpg


好高大上

QQ截图20150829104203.jpg


172.18.15.22:8080/ jboss漏洞

QQ截图20150829104404.jpg


可上传shell 【shell已经删除】
通过查看22用户目录下面的文件发现一个可以登录shell的用户名和密码,尝试登录成功,于是尝试登录临近几个服务器,成功,存在问题的服务器如下,一共发现40台,可能还有其它:

QQ截图20150829104615.jpg


连接一两个证明一下

QQ截图20150829104825.jpg


QQ截图20150829104832.jpg


172.18.20.5 172.18.20.6 大唐AC弱口令

QQ截图20150829105105.jpg


172.18.20.8/main.asp 汉明AC弱口令,其中大量银行接入该AC

QQ截图20150829105322.jpg


QQ截图20150829105432.jpg


172.18.20.62:8080/imc/ 华三imc弱口令

QQ截图20150829105638.jpg


最后来个压轴的,Dell所有服务器remote control弱口令,可远程关闭重启服务器,随便搞一台,苏州整个有线网络都要受影响,因为上面跑的各种虚拟机,ip从67-82都可以访问:
172.18.21.67
172.18.21.68
172.18.21.69
172.18.21.70
172.18.21.71
172.18.21.72
。。。
172.18.21.82
拿67和82登录做下证明

QQ截图20150829110006.jpg


QQ截图20150829110054.jpg


QQ截图20150829110128.jpg

漏洞证明:

作为江苏有线的一名客户,希望有线越办越好,运维人员越来越重视安全

修复方案:

版权声明:转载请注明来源 纳米翡翠@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-08-29 21:53

厂商回复:

正常联系苏州分公司进行修复,感谢作者的发现,这对我们提升自身的安全意识起到了很好的促进作用.

最新状态:

暂无