当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0159116

漏洞标题:新东方账户体系控制不严导致内网漫游/可开启boss模式(全公司717台服务器权限及数据库等)

相关厂商:新东方

漏洞作者: hecate

提交时间:2015-12-07 19:19

修复时间:2016-01-21 18:22

公开时间:2016-01-21 18:22

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-07: 细节已通知厂商并且等待厂商处理中
2015-12-07: 厂商已经确认,细节仅向厂商公开
2015-12-17: 细节向核心白帽子及相关领域专家公开
2015-12-27: 细节向普通白帽子公开
2016-01-06: 细节向实习白帽子公开
2016-01-21: 细节向公众公开

简要描述:

在乌云学到最多的就是打码!

详细说明:

1.入口 https://mail.xdf.cn
使用拼音字典进行fuzz测试,得到几个強口令用户



mask 区域


*****   liny*****
*****   xiec*****
*****   zhou*****
*****   liji*****
*****   sunj*****


登录了一下,没什么敏感信息,直到找到移动客户端

Image 13.png


可以查看组织通讯录

Image 15.png


比如俞老师

Image 16.png


2.用爬虫脚本得到所有员工的邮箱账号,然后构造键盘弱口令和程序员常用強口令密码字典
例如:



mask 区域


*****WSX*****
*****SW@*****
*****wsx*****
*****sw2*****
*****EDC*****
*****edc*****
*****EDC*****
*****X3*****







…………


得到大量用户



mask 区域


*****     1*****
*****i	1qaz*****
*****ng	1q*****
*****n	1qa*****
*****3	1qa*****
*****     1*****
*****     !*****
*****     1*****
*****     x*****
*****     x*****
*****     x*****
*****	xdf@*****
*****	xdf@*****
*****    xd*****
*****o	xdf@*****
*****	xdf@*****
*****g	xdf@*****
*****     x*****
*****     q*****
*****     q*****
*****     P*****
*****     p*****
*****     q*****
*****	123q*****
*****123qw*****
*****	123q*****
*****n3	xdf*****
*****3	xdf_*****
*****g2	123*****
*****o3	xdf*****
*****	xdf_1*****
*****	xdf_1*****
*****	xdf_1*****
*****	xdf_1*****
*****xdf_12*****
*****xdf_12*****
*****xdf_12*****
*****ng	12*****
*****ao	xd*****
*****	xdf_*****
*****	xdf_*****
*****	xdf_*****
*****	xdf_*****
*****	xdf_*****
*****	xdf_*****
*****n	123*****
*****i	123*****
*****n	123*****
*****xdf_1*****
*****xdf_1*****
*****	1234*****
*****1234+*****
*****1234+*****
*****1234+*****
*****     1*****
*****    	1*****
*****    	x*****
*****   xdf*****
*****    12*****
*****    12*****
*****    12*****
*****   123*****
*****  1234*****
*****xdf_1*****
*****xdf_12*****
*****xdf_12*****
*****xdf_12*****
*****	xdf_*****
*****	xdf_*****
*****g3	xdf*****
*****	xdf_*****
*****xdf_1*****
*****xdf_12*****
*****ng	xdf*****
*****	xdf_*****
*****xdf_12*****
*****	xdf_*****
*****	xdf_*****
*****	xdf_*****
*****	xdf_*****
*****   xdf_*****
*****    xd*****
*****   xdf*****
*****   xdf_*****
*****    xd*****
*****0	xdf*****
*****	xdf_*****
*****	xdf_*****
*****xdf_1*****
*****     x*****
*****    xd*****
*****3	xdf_*****
*****g4	xdf*****
*****aqing	xd*****
*****g	xdf*****
*****a3	xdf*****
*****     x*****
*****    xd*****
*****    xd*****


恰好有个是IT部的某个管理员

zhangzhe11      !QAZ2wsx


Image 18.png


搜索密码关键字
结果里面保存各种密码,让人大为惊叹

Image 17_meitu_1.jpg




mask 区域


*****.25.*****
*****^^码adm*****
*****.64.7*****
*****s_zho*****
*****U*qx4U*****
*****
*****
*****.64.7*****
*****s_zho*****
*****U*qx4U*****
**********
*****^IP:172*****
*****^^Prefe*****
*****_prefe*****
*****N4Jsx@*****
**********
*****^,最后一列是密码,^*****
*****  linux*****
*****  linux*****
*****windows *****
**********
*****2.212*****
*****2.215*****
*****
*****
*****克隆出来^*****
*****
*****
*****minist*****
*****qaz@*****
**********
*****.25.*****
*****H账号^*****
*****f.com@*****
**********
*****^^1^*****
*****172.17*****
*****^admin*****
*****NFO@xd*****
*****
*****
*****^^2^*****
*****172.17*****
*****^admin*****
*****NFO@xd*****
**********
*****^务^*****
*****ows2003   user:admi*****
*****user: root/office_p@ss0*****
*****^服^*****
*****: root/ 6lcWd4voGrloqom|is*****
**********
*****angshi*****
*****  xd*****
*****
*****
*****:172.1*****
*****^^:10.20*****
**********
*****72.17.64*****
*****P-WEB-165\a*****
*****^  xdf*****
**********
*****^^v_quyong分*****
*****几台^*****
*****2.8*****
*****2.8*****
*****80.1*****
**********
*****v_quy*****
*****xdf.*****
**********
*****买,以下^*****
*****^^:adm*****
*****器:*****
*****neworien*****
**********
*****号,密^*****
*****^^机  192*****
*****要修^*****
*****^^ssh 任^*****
**********
*****^^*****
*****^^:     *****
*****^    116.*****
*****^^*****
*****wanre*****
*****^^^*****
*****az@w*****
**********
*****ows:10.*****
*****:staff*****
*****^:xd*****
*****ows:10.*****
*****:staff*****
*****^:xd*****
**********
***** zhao*****
*****xdf.*****
*****.80.88 (*****
**********
*****
*****
*****2.8*****
*****2.8*****
*****uyuany*****
*****  xd*****
**********
*****64.1*****
*****96.1*****
*****
*****
*****ki*****
*****.c*****
**********
*****2.8*****
*****2.8*****
*****anrong*****
***** xdf*****
**********
**********
*****^器^*****
*****
*****
1.ftp://**.**.**/    _
**********
*****f_ch*****
*****8qP82*****
**********
*****^监^*****
2.http://**.**.**
*****^^^*****
*****^^12*****


随便登录试试

Image 15.png


Image 16.png


Image 21.png


管理员在线,不小心把他踢下去了

Image 22.png


Image 23.png


Image 24.png


Image 25_meitu_4.jpg


3.最终让我找到了vpn,和堡垒机的超管密码
vpn 地址 

https://vpn.xdf.cn


vpn使用手册http://400.xdf.cn/knowledge/index.jhtm?providerNo=3001&articleId=229
使用邮箱账户登录

Image 3.png


Image 13_meitu_1.jpg


Image 14.png


堡垒机
https://gate.staff.xdf.cn
网页模式请访问https://gate.staff.xdf.cn, linux远程连接工具请访问 gate.staff.xdf.cn  222端口,windows远程桌面请访问gate.staff.xdf.cn 3390端口


mask 区域


*****-baol*****
*****h2h5.y*****
*****码ven*****


717台主机!

Image 5_meitu_2.jpg


可以监控所有主机会话及指令

Image 6.png


Image 7.png


可管理717台主机

Image 10_meitu_3.jpg


全公司的服务器都在这

Image 11.png


还可添加删除管理员发送指令啊,危害之大请打雷!

Image 9.png

漏洞证明:

如上

修复方案:

内网严格划分VLAN

版权声明:转载请注明来源 hecate@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-12-07 20:28

厂商回复:

非常感谢!我们会尽快修复!

最新状态:

暂无