从一个默认口令到youku和tudou内网(危害较大请尽快修复)

编号19917
Urlhttp://www.wooyun.org/bug.php?action=view&id=19917
漏洞状态厂商已经确认
漏洞标题从一个默认口令到youku和tudou内网(危害较大请尽快修复)
漏洞类型应用配置错误
厂商优酷
白帽子X,D
提交日期2013-03-11 16:52:00
公开日期2013-04-25 16:53:00
修复时间(not set)
确认时间2013-03-11 00:00:00
Confirm Spend0
漏洞标签入侵内网
关注数0
收藏数0
白帽评级
白帽自评rank20
厂商评级
厂商评rank20
漏洞简介
俺是一个youku用户,几天前发现了youku一个漏洞,最近忙其他事情,懒得深入了,今天有空来提交下,
做了进一步的测试,测试步骤会我会详细列出,希望这么大的公司尽快注意安全啊
漏洞细节

习惯性的ping一下。
ping youku.com 一般情况下,www.youku.com 会走CDN youku.com应该不会吧

1.jpg


扫一扫,扫了一个C 80端口无明显漏洞,然后扫8080
存在问题的是123.126.99.76 8080 Open
这是一个zenoss 的监控系统,默认密码没有改,导致此次渗透
login admin/zenoss
最初对zenoss了解太少,经过进一步的研究发现可以得到shell
zenoss有一个Commands功能,可以执行任意命令。

1.jpg


1.jpg


需要将命令改成自己需要的
在执行命令的时候 需要找一个被监控的机器

1.jpg


反弹后得到shell

1.jpg


一看有内网IP,于是进行了进一步渗透测试,但是让我很郁闷的是,没有使用类似zabbix,puppet,ldap等类似权限较大的东西。渗透起来比较费劲。不过好在有IP信息。
到这里想起 剑心大牛在zone发表的一篇文章
http://zone.wooyun.org/content/1693
边界神器,低权限开socks5代理。但是执行报错,没有安装依赖包,我也没有root权限。执行二进制文件都缺少依赖包,在这里提醒我,以后linux安全可以考虑把这些依赖包删除,防止别人提权。
zenoss很多都是运用python来监控,自然zenoss这个用户肯定有运行python的权限。于是拿出另外一个边界神器py版开socks代理
代理开启之后,又遇到一个问题,端口被档掉了。似乎整个C端对外开放的只有80,8080,81 三个端口。8080和80端口被占用了,在81端口启代理失败的。
于是随便启了端口,然后利用端口转发,把代理端口转发到公网来。
使用ProxyCap代理指定的程序
有了代理之后,开始对内网进行端口扫描,根据服务器的last记录 确定登陆服务器的来源

1.jpg


IP 10.10.66.106
对10.10.0.0/16 进行3389和1433端口扫描
nmap -Sv -p 1433 10.10.0.0/16 -oX 1433log.log
有十来个机器开了1433端口 通过之前的代理 使用查询分析器挨个试弱口令。最后确认
10.10.111.100 sa 空密码。
3389也开着。
直接添加了一个youku的用户。
通代理直接登陆到该服务器。
到了这里之后,进行了其他弱口令的扫描
10.10.65.92 "root/123456"
10.10.65.129 "root/111111"
10.10.65.133 "root/123456"
10.10.221.61 "root/123456"
10.10.221.63 "root/123456"
10.10.236.11 "root/123456"
以上的这些机器似乎都没有外网IP。干不了其他事情。
继续挖边界漏洞。
经过一些web漏洞的挖掘 10.5.*.* 这个是土豆的内网。
10.5.111.29
10.5.105.2
这两个机器也有sa 弱口令,具体什么命令我也忘记了
利用远程管理卡默认口令,找到这么一个服务器。
远程管理卡的IP我给忘记了。只记得物理IP(修漏洞的时候,你们自己找找吧)
10.105.60.62 外网IP:220.181.154.91/123.126.98.141(这个机器留有rootkit麻烦及时清理)
通过该服务器 做了一个socks5代理,代理端口8080,因为防火墙对8080没有限制,所以这里代理端口我用了8080
启这个代理是为了不通过端口转发直接连接内部的服务器。
后续找了些其他的漏洞,
10.103.13.33 Hudson
java.lang.Runtime.getRuntime().exec('id')
Hudson 也是可以执行任意命令的,(你们自己加个认证吧)
AD域,
进到10.10.111.100 这个服务器之后发现,很多加域的服务器都在10.10.0.* 这个段。
于是想通过一个web漏洞或其他漏洞拿到10.10.0.*任意个服务器的权限,这样可以离拿到域的控制权更近一步。
经过痛苦的扫描,
找到这么一个问题。
10.10.0.13 sa 1QAZ2wsx
弱口令吧,
连接上去之后发现域管理员administrator 也在线。(感慨一下,安全意识啊)
于是,开启了这个服务器的shift后门,直接切到域管理员。
至于然后,你们都懂了......

POC

如上;

修复方案

撸过,修复方案你们懂的,带来困扰请谅解

状态信息 2013-03-11: 细节已通知厂商并且等待厂商处理中
2013-03-11: 厂商已经确认,细节仅向厂商公开
2013-03-21: 细节向核心白帽子及相关领域专家公开
2013-03-31: 细节向普通白帽子公开
2013-04-10: 细节向实习白帽子公开
2013-04-25: 细节向公众公开
厂商回复马上修复
回应信息危害等级:高漏洞Rank:20 确认时间:2013-03-11 16:57
Showing 1-52 of 52 items.
评论内容评论人点赞数评论时间

学习了!

bitcoin02014-05-13 09:51:00

mark

小贱人02014-05-05 23:29:00

mark

luwikes02013-10-22 15:09:00

学习了

syjzwjj02013-06-08 14:50:00

跪了, 求弱口令密码字典

[email protected]02013-04-29 18:27:00

@X,D 端口转发用的是啥神器?webshell自带那种转发感觉不稳定,老掉线

solihat02013-04-27 10:23:00

@cnbird 应该是这个,zone里面我也有说到的http://zone.wooyun.org/content/1693

X,D02013-04-26 18:42:00

@solihat http://zone.wooyun.org/content/1693

X,D02013-04-26 18:41:00

@xsser 谢谢点醒,有时候种了土豆,忘了马铃薯,以后得科学种田。

专业种田02013-04-26 17:07:00

@专业种田 种田种这么久还不懂这个道理啊

xsser02013-04-26 12:42:00

看来非业务的东西都不放外网了

专业种田02013-04-26 12:37:00

@X,D 膜拜 牛的一比啊 真心大作

x1aoh4i02013-04-26 09:44:00

saline02013-04-26 09:35:00

@X,D 求边界神器py版本及linux普通权限端口转发方法

solihat02013-04-26 09:16:00

很清晰的分析与表达, 膜拜~~~~

慕林02013-04-26 09:07:00

大作!渗透需要下辛苦啊!!

xsleaf02013-04-26 08:46:00

大作!膜拜!

Major02013-04-26 00:23:00

边界神器py版开socks代理http://www.80vul.com/src/s5.py是说的这个吗?

cnbird02013-04-25 23:04:00

我竟然看懂了!

陈再胜02013-04-25 22:59:00

膜拜= = 。。。

小震02013-04-25 22:33:00

我日,个人觉得像这样的,应该直接RMB补贴!要不然,碰上黑帽子就脱库卖钱了……

偉哥02013-04-25 21:38:00

很强大

冰锋刺客02013-04-22 19:45:00

@gainover 惊动了gn 受宠若惊!

X,D02013-04-22 15:36:00

前来膜拜+学习

gainover02013-04-22 15:32:00

这过程,这思路,给力,目测大牛的干活!!!

xfkxfk02013-04-19 09:34:00

开启了这个服务器的shift后门,直接切到域管理员。这个是怎么实现的呀~

suclogger02013-04-18 14:34:00

V5...

墨水心_Len02013-04-16 14:57:00

很多厂商内网都很脆弱,我这能VPDN进去的内网都是一日千里。

无敌L.t.H02013-04-14 22:48:00

教训是一定要改默认密码啊~

jing02013-04-12 21:57:00

洞主过程很犀利

iskit02013-04-11 10:04:00

膜拜

小仙仙02013-04-11 09:09:00

@X,D 那就让送塞

‫‌02013-04-03 08:07:00

膜拜~~

blrk02013-04-02 18:36:00

花了不少时间,呵

非米特尼克02013-04-01 22:32:00

非常给力的过程

Z-0ne02013-04-01 18:01:00

不错!

qiaoy02013-04-01 13:26:00

我日,类似监控系统不做源ip限制呀

stephanie02013-04-01 12:15:00

这个分析的好。要花不少的时间啊!某库已经在手了吧…………

wefgod02013-04-01 09:59:00

撸主,真尼玛牛逼

浩天02013-04-01 09:48:00

好牛的过程

possible02013-03-22 09:48:00

围观

rootsecurity02013-03-12 12:08:00

先关注下。。

鬼魅羊羔02013-03-12 09:14:00

优酷 说vip不好送,据说送点个U盘到wooyun集市。换吧

X,D02013-03-12 00:32:00

果断mark 坐等洞主的vip

Blackeagle02013-03-12 00:25:00

关注。。。

小胖子02013-03-11 21:32:00

@优酷 ,看你的了,来一批VIP,渗透测试很累的有木有?@xsser

X,D02013-03-11 17:03:00

到youku和tudou内网,他们IDC是相通的?隔壁?又是一篇大作啊,关注!

疯狗02013-03-11 17:02:00

关注

se55i0n02013-03-11 17:02:00

@X,D 顺便给乌云发送一批vip好咩?

xsser02013-03-11 17:01:00

我日,,忘记问礼物了,,youku这个你得表示下吧。

X,D02013-03-11 17:00:00

这个牛。。。

Jannock02013-03-11 16:58:00

貌似那个任意修改密码的还没修哪....

xsser02013-03-11 16:53:00