当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0153878

漏洞标题:一个弱口令引发的链家内网渗透(已登陆多个系统\自如网多个数据库等大量信息泄露)

相关厂商:homelink.com.cn

漏洞作者: 路人甲

提交时间:2015-11-17 09:31

修复时间:2016-01-11 15:32

公开时间:2016-01-11 15:32

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-17: 细节已通知厂商并且等待厂商处理中
2015-11-17: 厂商已经确认,细节仅向厂商公开
2015-11-27: 细节向核心白帽子及相关领域专家公开
2015-12-07: 细节向普通白帽子公开
2015-12-17: 细节向实习白帽子公开
2016-01-11: 细节向公众公开

简要描述:

链家加油站\链家理财系统svn\OA系统\ehr系统\hr系统\自如网数据库等大量信息泄露

详细说明:

渗透的开始是手机弱口令,最好能够直接拨入vpn,这样就省很多事情。收集链家员工的工号和登录名,使用姓名为账号,工号为密码,再配以常用弱口令等进行爆破,爆破处一枚邮箱

lo****/10083***


#1 邮箱的探索
得到账号之后进入邮箱,不过让人有点失望,邮箱邮件大部分都已经被删除了,只留下一部分没有什么重要信息的,这位员工的做法还是比较好的,将重要信息处理完毕都删除,跟后面的那位比好多了。
使用这枚账号登陆vpn,登陆成功不过没有资源列表。也就失败了
翻看了几封邮件,就开始寻找通讯录了,链家的通讯录是每个人都享有的,方便大家工作的同事也增加了员工信息泄露的几率。
找到了链家运维小组的邮箱地址,总共九个人,一块打包(其实是一个一个自己打到文本里的)。下面一步就开始针对这几个人做一次有针对性的fuzzing(觉得很高大上),刚开始先做的是单独每个人的fuzzing,后来失败了,还是字典不够强大。太费事,干脆一块丢进去,跑一下午,我想应该还是可以跑出来的

密码采用简单的组合
homelink@123
homelink@2011
homelink@2012
homelink@2013
homelink@2014
homelink@2015
等还有其他的一些常用密码


不得不佩服还是字典好用,再加上耐性,终会看到一些令自己满意的结果。成功一个运维小组的人

yangg***/qwe12****


登陆邮箱看一下

杨邮箱.png


找到了大量资料,下面就一一展示
自如网后台管理员信息

100.bak.png


101.bak.png


jira账户

102.bak.png


自如网可能要搭建的服务邮箱账户

ziroom邮箱.png


资产生产楼盘系统生产数据库

ziroom信息.png


下面是乌云漏洞,有密码了,原来厂商们都是这样看漏洞的呀,跟百度网盘一样

乌云漏洞.png


自如网数据库(泄露的信息下面将会讲明),这么多裤子,应该是黑产们的最爱吧,但是咱们是白帽子,不能做那样的事~

ziroom数据库.png


ziroom数据库2.png


ziroom数据库3.png


7.bak.png


mysql.png


下面是工作交接文档中自如网全部机器的ip与环境

内部文件.png


下面是链家93台主机存活与环境

主机.png


收集信息就到这里吧,从上面的种种信息可以看出来这个账号是链家运维小组里面负责ziroom网安全配置等工作的,相信运维小组一定会有vpn资源列表的,下面开始了

漏洞证明:

#2 拨入vpn进入内网渗透

https://vpn.homelink.com.cn/


和猜想的没有差别,运维小组的人权限就是大,看了一下可使用的资源列表,覆盖了七网段,这也就是说,链家的内网全部可以访问了

三个vpm资源.png


#2.1 链家加油站(SQL注入\存储型xss)

http://bjxwgl.homelink.com.cn/


依然使用原来的账号,登陆之后发现这是一个积分平台,跟乌云集市差不太多

POST /order/order_getMyOrderList.action HTTP/1.1
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Accept: text/html, */*
Referer: http://bjxwgl.homelink.com.cn/order/order_toMyOrder.action
Accept-Language: zh-CN
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko LBBROWSER
Content-Length: 101
Host: bjxwgl.homelink.com.cn
Pragma: no-cache
Cookie: Hm_lvt_023ae7ee49c070f6bdc1695ebecb6da9=1446302228; __utma=1.1117316601.1446302227.1446302227.1446302227.1; JSESSIONID=6062A26E18BDDEE2D228AE3EE57DE785
page.curPageNo=1&page.pageSize=5&productName=&startDate=2015-11-04'*&endDate=2015-11-13&orderStatus=-1


startDate参数存在注入,不验证了

sql注入.png


还有一个存储型xss,应该是可以打管理员的,在反馈处,填写代码
查看自己的反馈信息,打到了

xss成功.png


#2.2 多个系统弱口令
1. https://172.16.6.214/svn 弱口令没有修复,在

 WooYun: 互联网房产行业之链家地产意识不足引发的内网漫游(涉及内部核心房源和销售系统\链家理财系统\掌上链家\服务器数据库权限等敏感信息)


提到密码zhouhongting/zhouhongting,全是链家理财的代码,如果被利用了,可想后果有多么的严重

代码库.png


从中找到一些敏感信息--微信

微信.png


2. ehr和hr系统
账户和密码是上面提供的两枚

ehr.png


hr.png


3. 签约平台
可以爆破,工号/工号

http://172.16.4.148:8080/common/toShangquanAuditList.html


签约平台1.png


签约平台.png


4. OA

oa1.png


5. 还有一个忘了名字了,也是弱口令

12.png


#2.3 ziroom的数据库
直接在本地登陆了一个mysql数据库

数据库登陆.png


这个库还包含自如网微信的关注者信息

13.png


一页1000个,共75页

1.png


同样共85页,含银行卡等个人信息

2.png


部分员工的身份证号

4.png


#2.4 发现有两个站点有目录遍历

目录遍历.png


目录遍历1.png


#3 结束
这次其实也算不上什么高大上的渗透,本次渗透的主要目的就是为了揪出链家这个系统的其中一个脆弱点,系统往往会很坚固,但是人就不一样了,可坚固可脆弱,如果真的防止类似的时间发生,链家需要做的还有很多:
1. 对员工开展安全教育培训,让每一名员工都有一个保护系统的意识,而不是单纯的为了自己的方便而设置简单的弱口令。
2. 系统自身还需要加固,这次入侵能够成功的一个因素就是没有防爆破机制,导致可以无限次的试探员工的账号密码,这一点个人感觉苏宁做的很好,在发现被爆破之后,立即会添加防爆破机制,如添加可行的验证码或限制密码试探次数。
3. 这次测试发现以往提出来的安全问题,依然存在,比如svn的口令,都过去好几个月了,行动是不是有点迟缓呢?并不是所有东西放在内网就是安全的,一旦被找到系统的脆弱点,打进内网,都晚了。

修复方案:

1.统一限制密码长度,足够位数以上,尤其是运维等具有管理系统级别的人物
2.抓紧修补以前的漏洞
3.这次测试主要原因不在于前面提供的两个账号的,即使他们不是弱口令,其他人也会有的,希望不要责难。
4.这次是最累的一次了,20rank可好?

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-11-17 09:45

厂商回复:

确认,谢谢

最新状态:

暂无