漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-043093
漏洞标题:一种方式可能毁灭北邮中心机房
相关厂商:北京邮电大学
漏洞作者: s0mun5
提交时间:2013-11-16 19:59
修复时间:2013-12-31 19:59
公开时间:2013-12-31 19:59
漏洞类型:成功的入侵事件
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-11-16: 细节已通知厂商并且等待厂商处理中
2013-11-20: 厂商已经确认,细节仅向厂商公开
2013-11-30: 细节向核心白帽子及相关领域专家公开
2013-12-10: 细节向普通白帽子公开
2013-12-20: 细节向实习白帽子公开
2013-12-31: 细节向公众公开
简要描述:
不用放火不用爆破,动动鼠标也可以毁灭大北邮。
详细说明:
某某某天,跟一北邮的朋友聊天,通过某种方式得到了他的出口IP地址,拿到地址后,淫荡的一天开始了。
一阵分析扫描后,定位到一个web系统 IT运维管理系统
http://114.255.40.138
很眼熟。经过分析加回忆,确实是见过,还得出来北邮、城市热点、网瑞达三角恋的关系,哈哈。
之前进入这套系统是使用弱口令,这次运气没那么好,没有猜到。
运气真的不好么?
看我找到了什么,
http://114.255.40.138/db.sql
找到了默认的用户名密码,admin的密码解出后是wrdnms。
认证已经过期,只有一小部分功能可以使用,记忆中这套系统为静态注入,搞之。
非root权限,放弃用注入拿shell的想法。(后来发现这套系统是统一配置的,数据库均为一键创建的低权限账号)
ckeditor也没找到可利用的,穷途末路的赶脚。
在近似神游的状态,无聊的连了一下ssh,无聊的输入了root,密码些了刚才解出来的wrdnms,我擦,就这么进去了!
谁说我运气不好,某的机油的话说的,我一直在用下半生的生命换来的人品在日站。
dmz啊dmz,后来确认了下,北邮校内确实可以访问这个服务器的内网ip。
ssh tunnul进入内网,开扫。过程不再赘述。
经过一段时间的扫描,测试,内网中所有http banner为Apache/2.2.13(Red Hat)的
全部都是这套系统。并且成功利用这个密码拿到十几台机器的root权限。
漏洞证明:
仅仅拿到这十几台linux当然不能算毁灭。
继续往下搞。登陆了一个没有过期的系统。
看到这个图,立马就感到高大上了。
这套系统比较牛逼,可以远程查看任何一台添加的设备的进程等信息。如果分析出过程,是不是可以远程命令执行呢?这个不研究了先
翻了一阵后,在虚拟化这个功能里有巨大发现。
土豪学校,完全吓尿的节奏。。。。
vcenter里的配置竟然明文存着密码。
administrator
Chit@BUPT
用这个密码去登陆10.3.10.3,shit 登陆失败。。
但是用这个密码登陆了这么两台服务器
10.3.9.23 WSUS服务器,可以挂马么?呵呵。。
10.3.9.18 不知道干嘛的
想短期渗透,还不想搞破坏,下一步怎么做再次陷入了困境。
碰运气的心态,登陆了其他的几台IT管理系统,终于到了其中一台,找到了新的密码。
byr Wrd123!@#
vmdev byrdev123!@#
使用10.3.10.3 成功登陆vcenter服务器
北邮中心机房的三个集群现在都在手里了,可以随便改动任何一台服务器的配置,甚至删除。
现在可以称得上是毁灭性的了吧。
这个漏洞最大的贡献者网瑞达,再送你们几个漏洞。
/system/ajaxdownloadfile?path=../../../etc/passwd 任意文件下载
/system/filedir/back?path=../../../ 目录遍历
上传备份配合目录配置可以getshell。
域传送漏洞
目测网瑞达就是北邮的一个下属公司。
修复方案:
记录txt再贴出来,你们一一改吧,自己继续排查。
版权声明:转载请注明来源 s0mun5@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2013-11-20 17:42
厂商回复:
CNVD确认所述情况(部分涉及内部网络测试未进行复现),已经转报给前校长办公室工作人员,由其后续协调北京邮电大学网络运行管理部门处置。
最新状态:
暂无