当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0191973

漏洞标题:微盟之蚂蚁的力量(影响上千台服务器安全)

相关厂商:weimob.com

漏洞作者: 纳米翡翠

提交时间:2016-04-06 00:10

修复时间:2016-05-21 11:20

公开时间:2016-05-21 11:20

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-04-06: 细节已通知厂商并且等待厂商处理中
2016-04-06: 厂商已经确认,细节仅向厂商公开
2016-04-16: 细节向核心白帽子及相关领域专家公开
2016-04-26: 细节向普通白帽子公开
2016-05-06: 细节向实习白帽子公开
2016-05-21: 细节向公众公开

简要描述:

清明到了,我是冲着闪电来的
值此清明佳节之际,衷心希望所有公司员工安全意识能提高到新的历史高度

详细说明:

有句话:千里之堤毁于蚁穴
先看一下可能造成的影响力,注册用户数170万,如果170万里面哪怕有10万活跃用户,也就是关联了公众号的,那这10万用户公众号又会牵扯到多少粉丝用户呢,其造成的连锁影响不敢想象,而最魁祸首就是弱口令:“123456”

QQ截图20160402223445.png


注:怎么确定这个是用户表呢?我自己注册了一个号在这个表里面查到了我的账号,所以这个可以确认就是用户表,没做深入,点到为止。


1.找到蚂蚁
首先看了一下微盟在乌云的历史安全记录,收集到了jira的地址,发现该Jira还可以注册,于是随便注册了一个账号:wenzhang.lai
进来之后发现可以查看很多项目,但没有从项目中得到什么有用信息,从之前收集的信息得到有一个bable.weimob.com上面有很多企业内部信息,但发现注册的账号并不能登录bable平台,于是打算爆破一下用户,从jira里面随便搜集了一些用户,要说也是运气好,很快就爆出了弱口令密码

王海燕:123456


而且还是在管理组

QQ截图20160402225136.png


真的只能说是运气好,但是该用户一样无法登录bable,对jira查看后发现了ldap

QQ截图20160402225323.png


看到ldap,想到可能会有统一登录认证,可能ldap的用户是可以登录bable的,看了下ldap,IP是外网地址,于是工具试了一下匿名访问,竟然可以访问到

QQ截图20160402225428.png


虽然不知道admin的密码,但可以拿到用户名,于是拿从ldap拿到的用户名加上密码123456又爆破了一次,成功爆到一个用户:

emma.li:123456


尝试登录bable,成功

QQ截图20160402225923.png


重点浏览了一下运维团队

QQ截图20160402230117.png


利用拿到的ldap账号可以顺利登录以下平台

QQ截图20160402230339.png


QQ截图20160402230621.png


QQ截图20160402230621.png


QQ截图20160402231005.png


其中,上面最后一个系统真的把我吓到了,通过最后一个系统发现,微盟使用的基本上全部都是阿里的服务器,记录显示共1014台虚拟机,微盟真的发展太厉害了,佩服。
不过也正是因为就是这个系统让所有服务器全部沦陷,包括处于production的,且看
2.蚁穴
该平台有一个很牛逼的功能,是文件查看:

QQ截图20160402231942.png


不仅可能查看目录,还可以查看文件

QQ截图20160402232044.png


抓包发现其调用的url:
获取列表:

QQ截图20160402232223.png


获取内容:

QQ截图20160402232239.png


那么通过这两个url即可遍历服务器所有内容了
先通过获取列url表拿到文件列表,再通过获取内容url获取具体内容,相当于服务器被getshell。
演示其中一台服务器,即www.weimob.com主站服务器:
通过平台得知主站集群其中一台ip为:10.168.174.112

QQ截图20160402232915.png


获取根目录列表:

QQ截图20160402233249.png


获取/etc/passwd

QQ截图20160402233023.png


通过url遍历可以查看到服务器数据库连接信息,因为使用的是阿里的RDS,且是内网地址,所以直接连接连接不上,需要通过处在同一个大区的阿里的ECS来连接,幸运的是我本地的一台ecs正好和该rds处在同一个大区,于是顺利连接上服务器,也就有了一开始的170万用户的截图

QQ截图20160402234445.png


注:以上url在获取路径过程中路径必须以程序里面要求的开头,然后通过../回退到指定的目录,包括文件操作也是


上千台服务器就这么因为一个弱口令变得赤裸裸。

漏洞证明:

为方便乌云君验证漏洞准确性,我把上面打码的url打出来,希望乌云君验证完后把url打码
获取路径:
http://oms.weimob.com/cmdb/listdir?_dc=1459602258583&ip=10.168.174.112&dirname=/data/log/nginx/access/../../../../
获取内容:
http://oms.weimob.com/cmdb/getfilecomment?_dc=1459602153542&ip=10.168.174.112&dirname=/data/log/nginx/access/../../../../../../../../etc/passwd

修复方案:

全员安全培训

版权声明:转载请注明来源 纳米翡翠@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2016-04-06 11:17

厂商回复:

非常感谢你的提醒,我们会立即修复。随后会寄上我们的礼品给你。(请留下联系方式)

最新状态:

2016-04-06:已修复