当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0151685

漏洞标题:新浪微博某处服务存在弱口令可导致GETSHELL

相关厂商:新浪

漏洞作者: if、so

提交时间:2015-11-04 11:19

修复时间:2015-12-19 11:52

公开时间:2015-12-19 11:52

漏洞类型:后台弱口令

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-11-04: 细节已通知厂商并且等待厂商处理中
2015-11-04: 厂商已经确认,细节仅向厂商公开
2015-11-14: 细节向核心白帽子及相关领域专家公开
2015-11-24: 细节向普通白帽子公开
2015-12-04: 细节向实习白帽子公开
2015-12-19: 细节向公众公开

简要描述:

这是一个悲伤的故事.@sky@sky

详细说明:

相对新浪做一次渗透测试。于是列举了新浪内部域名的站点(staff.sina.com.cn),发现ip集中在218.30.113.1-254
简单扫下端口,发现了一个站,218.30.113.117:8000
部署了wordpress,http://218.30.113.117:8000/wordpress
一看就是刚部署的,没有内容,只有一个admin用户
尝试猜测弱口令,发现一个问题,提交登陆请求后,页面会跳转到一个内网地址

inf-dev-maybach.weibo.com:8000


1111.png


这种情况遇到过,说名在wordpress的后台设置里面把网站地址设成了这个域名,绑定host可以解决

2222.png


成功访问
猜测了admin 123456等一些弱口令都没有成功,陷入了僵局
想了下,这种刚搭建好的网站,在安装的时候,密码肯定是随手一写,肯定是与搭建着密切相关的。换句话说就是不是核心密码,但是经常用,可能是昵称,生日或者车牌号。
发现http://inf-dev-maybach.weibo.com:8000/info.php

1111.png


里面发现一个用户名huixinchen,尝试admin huixinchen 失败。
果断百度,说不定能发现什么,比如微博,论坛,发现他的常见用户名

1111.png


卧槽,一查吓尿,是个大牛!
眼一尖发现他的网名了,

惠新宸@Laruence,是国内最有影响力的PHP技术专家


Laruence,不过根据人的习惯,不习惯带着大写输东西,很麻烦,尝试admin laruence登陆成功!
也是醉了
发现网站环境是php7的,好不容易才getshell

1111.png


2222.png


与核心内网相通,ping了下exchange服务器

PING mail.staff.sina.com.cn (10.210.97.18) 56(84) bytes of data.
64 bytes from 10.210.97.18: icmp_req=1 ttl=252 time=0.228 ms
--- mail.staff.sina.com.cn ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.228/0.228/0.228/0.000 ms


成功访问外网屏蔽的25端口

Trying 10.210.97.18...
Connected to mail.staff.sina.com.cn.
Escape character is '^]'.
220 sina-hub01.staff.sina.com.cn Microsoft ESMTP MAIL Service ready at Sun, 1 Nov 2015 23:47:27 +0800


存在被暴力破解风险,获得域账号

漏洞证明:

1111.png


2222.png


蛋疼的时在用http代理来探测内网的时候,nginx挂了,一直400 bad request,好悲伤。早知道放一个破解脚本上去跑邮箱算了。浪费了sky的帮助。

修复方案:

关闭8000端口。。。

版权声明:转载请注明来源 if、so@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-11-04 11:51

厂商回复:

感谢支持,已经通知业务处理

最新状态:

暂无