漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2016-0197781
漏洞标题:对新浪的再一次渗透测试
相关厂商:新浪
漏洞作者: 路人甲
提交时间:2016-04-18 13:43
修复时间:2016-06-02 18:10
公开时间:2016-06-02 18:10
漏洞类型:成功的入侵事件
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2016-04-18: 细节已通知厂商并且等待厂商处理中
2016-04-18: 厂商已经确认,细节仅向厂商公开
2016-04-28: 细节向核心白帽子及相关领域专家公开
2016-05-08: 细节向普通白帽子公开
2016-05-18: 细节向实习白帽子公开
2016-06-02: 细节向公众公开
简要描述:
和@ifso老司机再开一次车
声明:
本次发现的问题已经提供一份详细报告给厂商,厂商已经在修复中。
详细说明:
起因, WooYun: 对新浪的一次渗透测试 ,修复不完整,401认证的密码改了,但是搭建的VPN并没有处理(直到详细报告提交给厂商时,VPN还可以直接连接)
pptp,很稳定,账户在/etc/ppp/chap-secrets,记得pptp卸载。
直接上vpn
爆破邮箱
然后开始分工合作,ifso办公网,我就去生产网溜达了
ifso老司机先开一段:
https://10.210.x.x/login.html DELL Management Control
弱口令 root root
存在远程控制功能,可以成功访问Sina内网域控
如图,可以看出这台机器是新浪域控,Sina-xxxxx
由于只是处于内网环境中,无法列举出域内机器、域管理员,所以这个发现是致命的。
之前破解出的邮件弱口令派上了大用场。
基于Windows域的特性,可以配合一个经典的漏洞,就是Windows Gpp组策略漏洞。
因为每个域成员,不论权限高低都可以访问域控上的对域成员的基础共享。
搜索groups.xml,成功搜索出2个
使用Gpp-decrypt破解
成功获得2个Administrator密码:
yyQxxxxxx##@ 和xxxxxxxxx@@yyQ,应该是服务器内置的本机密码,非域里面的administrator,因为域的administrator已经被停用,去Sina-xxxxxx去尝试登陆,发现密码不对。
虽然密码不对,但只是域控的密码不对,因为服务器本机的Administrator很少启用,并且不受域策略的限制,所以其他机器的本机密码很有可能是这2个。
终于10.210.x.x的本机administrator密码是xxxxxxx@@yyQ,成功进入服务器。
抓到一部分密码
发现xxxx就是域管理员,正好抓出的账户中就有,这个时候已经拥有内网域的最高权限。
成功进入域控制器
有了域管理员就进入了上帝模式,可以获取任何人的邮件信息和机器权限(前提要开机并且加入了域中)
尝试去导出邮件,选一个dba的xxxx吧
下面就是本地outlook看邮件了
如图,大量邮件,各种敏感信息。
下面再来证明有了域权限后,对域内个人机器的威胁。
由于域的特性,只要加入域中,就受到域的管控,并且电脑在域中的名字就是‘邮箱前缀.xxx.xxx.xx.xxx’,所以想要控制某台机器,直接远程桌面连接或者访问其IP共享即可。
域控制器上都写得清清楚楚,谁在哪个部门。哪台电脑
由于是周末,大部分电脑都关机了,找了一会找到一个
如图,一看就是员工的电脑,使用域管理员xxxxx的账号登陆,成功登陆
ssh客户端本地保存了几台服务器的密码直接连接了
员工机器上也发现了一部分数据库备份
ifso就去陪媳妇了。。。
内网还是很大的,找到某系统,进去获取一部分信息,找到一台服务器
有点意外惊喜
服务器上发现了一些运维脚本,找到了rsync,
还有很多机器的,你们自己内部排查吧,我就不贴了。
大概翻了翻服务器上面的代码,api接口还都能用
给x.x.x.x, rsync上传了一个shell,1.php,刚好是web目录直接
上面有几个G的数据库文件。。。。。。,没下载,记得删除了吧
机器上面还在往其他服务器同步代码,服务器5.4,可以root的,提权后可以接着同步代码,继续深入的
通过分析服务器上的history,找到了svn服务器地址,前期的信息收集过程获取了相关svn账户的密码,直接登录
已经证明危害,就不再深入了。
漏洞证明:
修复方案:
多让外部帮你们推动推动安全建设吧,只能帮你们到这里了。。。。。。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2016-04-18 18:07
厂商回复:
感谢关注新浪安全,问题修复中。
最新状态:
暂无