当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-088773

漏洞标题:同程旅游某服务配置不当getshell入内网并泄露内网结构

相关厂商:苏州同程旅游网络科技有限公司

漏洞作者: 杀器王子

提交时间:2014-12-26 14:36

修复时间:2015-02-03 13:53

公开时间:2015-02-03 13:53

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:20

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-12-26: 细节已通知厂商并且等待厂商处理中
2014-12-26: 厂商已经确认,细节仅向厂商公开
2015-01-05: 细节向核心白帽子及相关领域专家公开
2015-01-15: 细节向普通白帽子公开
2015-01-25: 细节向实习白帽子公开
2015-02-03: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

休息好几天了,活动活动

详细说明:

http://61.155.159.159/cacti/
cacti系统
61.155.159.159 ftp空密码访问

ftp> ls
229 Entering Extended Passive Mode (|||12888|)
150 Opening ASCII mode data connection for file list
-rw-r--r--   1 root     root       653445 Jun 26  2014 6.7-nconf-tianyan-memcached.20140626.tgz
drwxr-xr-x   2 root     root         4096 Jun 17  2014 AUTO
drwxr-x---   5 mysql    yunwei       4096 Jun 27  2014 DBI-1.609
-rw-r--r--   1 root     root       510309 Feb 25  2014 DBI-1.609.tar.gz
drwxr-xr-x   3 root     root         4096 Jun 17  2014 FTP
drwxr-xr-x   3 ftp      ftp          4096 Dec 26 02:01 ftp
-rw-r--r--   1 root     root            0 Dec 25 22:59 move_log.log
-rw-r--r--   1 root     root          441 Jan 22  2013 my.cnf
-rw-r--r--   1 root     root     23595610 Jun 17  2014 mysql-5.5.3-m3.tar.gz
drwxr-xr-x   5 1000     1000         4096 Jun 27  2014 mysqlsla-2.03
-rw-r--r--   1 root     root        33674 Nov 11  2008 mysqlsla-2.03.tar.gz
226 Transfer complete
ftp> ls ftp
229 Entering Extended Passive Mode (|||50775|)
150 Opening ASCII mode data connection for file list
-rw-r--r--   1 ftp      ftp        137364 Jan 16  2014 DBD-mysql-4.026.tar.gz
-rw-r--r--   1 ftp      ftp       1643615 Dec 11  2013 cacti-20131211160701.sql.gz
drwxr-xr-x   6 1000     users        4096 Jun 18  2014 cacti-spine-0.8.7g
-rw-r--r--   1 ftp      ftp        592801 Jul  9  2010 cacti-spine-0.8.7g.tar.gz
-rw-r--r--   1 ftp      ftp       7200529 Aug 30  2013 httpd-2.2.22.tar.gz
-rw-r--r--   1 ftp      ftp       4716070 Sep  5  2013 libiconv-1.13.1.tar.gz
-rw-r--r--   1 ftp      ftp       1335178 Sep  5  2013 libmcrypt-2.5.8.tar.gz
-rw-r--r--   1 ftp      ftp        471915 Sep  5  2013 mcrypt-2.6.8.tar.gz
-rw-r--r--   1 ftp      ftp        931437 Sep  5  2013 mhash-0.9.9.9.tar.gz
-rw-r--r--   1 ftp      ftp      23595610 Sep  4  2013 mysql-5.5.3-m3.tar.gz
-rw-r--r--   1 ftp      ftp       5955981 Jul 19  2012 net-snmp-5.6.2.tar.gz
-rw-r--r--   1 ftp      ftp        201339 Sep  5  2013 php-5.2.17-fpm-0.5.14.diff.gz
-rw-r--r--   1 ftp      ftp      11801597 Sep  5  2013 php-5.2.17.tar.gz
-rw-r--r--   1 ftp      ftp       1345477 Jul  5  2010 rrdtool-1.4.4.tar.gz
226 Transfer complete
ftp>


下载cacti-20131211160701.sql.gz文件

Snip20141226_1.png


解出admin密码 cacti@17u
登陆后使用cacti的命令执行getshell

Snip20141226_2.png


cacti系统中监控了内网的大部分运维重要系统。

Snip20141226_3.png

漏洞证明:

有了cacti nagios 和zabbix也是内网监控必不可少的部分
本机mysql中存在nagios的数据库,同样有内网的结构。
查看本机配置
/usr/local/nagios/etc/nrpe.cfg
定位nagios位置
allowed_hosts=127.0.0.1,61.155.159.159,172.16.6.7,61.155.159.211,192.168.2.211
127.0.0.1,61.155.159.159,172.16.6.7,为本机
61.155.159.211,192.168.2.211为nagios机器
访问之

Snip20141226_4.png


恩 棒棒的
随便打开一个nagios 需要401认证
根据刚才的cacti密码 成功猜到nagios的密码
nagios/nagios@17u
并且所有ngios通杀

Snip20141226_6.png


那么 xxxx@17u在内网可以通杀多少呢 应该不少

修复方案:

关闭未授权访问 健壮内网口令

版权声明:转载请注明来源 杀器王子@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-12-26 14:44

厂商回复:

感谢关注同程旅游,已在火速处理。

最新状态:

2014-12-27:唉,最近被刷了好多洞,我都没有测到,心里挺难受的。这一个月天天主动加班,老婆晚上问我,你不会出轨了吧 ( ・ω・)✄╰ひ╯下午我们做了应急响应,在修复了白帽子报告的问题后。顺势把这次看作成一次演习,讨论了下哪些地方缺监控,哪些地方要去关注异常。快速过了一遍防火墙配置,用Ansible+Lynis对所有Linux机器做了一次简单的审计。还是有发现的,有机器允许root登陆,SELinux配置问题,mysql空密码,有些软件包要排计划升级...这事儿主要责任在我,21 1433 3306 3389 6379 11211 27017等高危端口,当初是写了个脚本放在腾讯云上的一台虚拟机监控的,但是这些端口一般也不会向公网开放,一个又一个月过去了,虚拟机过期关闭了也没注意到。防火墙还是要收口到安全部门,要不然这种“黑盒”的监控不确定因素太多。cacti这个事情,运维这边平常本来也很忙,升级挺麻烦的。我说至少覆盖下那个php文件,当时好像也没poc,没办法验证,后来也就忘记了... 这补丁管理没做好,不能怪别人。通知到了不算,一定要验证。密码的事情我已经不想再说了,说了很多很多次... 我的建议是用Keepass+Btsync来做团队的密码管理方案。希望大家吸取我的教训,我也会继续更新这次暴露出的问题后续的处理供大家参考、自查。

2015-02-03:公开公开