当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0152710

漏洞标题:中国铁建内网漫游沦陷多个重要部门泄漏大量信息(redis+ssh-keygen免认证登录案例)

相关厂商:中国铁建

漏洞作者: wsg00d

提交时间:2015-11-08 10:23

修复时间:2015-12-26 10:42

公开时间:2015-12-26 10:42

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-08: 细节已通知厂商并且等待厂商处理中
2015-11-11: 厂商已经确认,细节仅向厂商公开
2015-11-21: 细节向核心白帽子及相关领域专家公开
2015-12-01: 细节向普通白帽子公开
2015-12-11: 细节向实习白帽子公开
2015-12-26: 细节向公众公开

简要描述:

当redis遇到ssh将擦出怎样的火花?
http://antirez.com/news/96
http://zone.wooyun.org/content/23759
中国铁建内网漫游沦陷多个重要部门,海康威视摄像头,蓝盾网页防篡改系统,多台华为防火墙....

详细说明:

鄙人仍在努力学习内网渗透,有些地方写得啰嗦了就当记笔记。。大牛轻喷
一切都是从这里开始的。。。。
IP: **.**.**.** 中国铁建蓝信系统

aaaaaaaaaaaaaaaaaaaaaaaaaaaa350.png


该服务器开放了 6379端口也就是redis默认的端口了,未授权访问,直接远程连接

bbbbbbbbbbbbbbbbbbbbbb20.png


然后此时一般的思路就是找到网站物理路径,然后通过备份拿到webshell,然而这个站点的物理路径并没有找到,但是端口扫描发现该服务器开放了ssh22端口,于是可以通过问题描述里连接的方法拿到shell了,
首先通过ssh-keygen生成private和public密钥。然后将生成的public密钥拷贝到远程机器后,就可以使用ssh登录到远程机器上去而不要密码。

bf269479-b89a-40c3-9393-49b594314f26.jpg


上图,红色圈内表示生成的公钥。我们只需要将这个公钥上传到目标服务器的“/root/.ssh/”目录并重命名为authorized_keys。做好了后,我们就可以直接登录目标服务器了,不需要输入用户名和密码。
但是怎么通过redis拷贝文件过去呢?其实只需把id_rsa.pub里的内容复制过去就行了。具体看图。
首先看看id_rsa.pub里的内容

cccccccccccccccccccccccccc07213144.png


我们只需把这些内容想备份一句话木马的形式备份到/root/.ssh/目录下就行了,当然备份的名字得改为uthorized_keys,如图,最好在公钥内容的前面和后面都加上一点空格和回车,不然貌似数据库的其它内容会造成影响。

ddddddddddddddddddddddddddddd627.png


eeeeeeeeeeeeeeeeee912.png


PS(然后发现其实我不是第一个进来的了,,因为之前就发现文件备份的位置和名字都已经是上图那样了,而且下图是之前的公钥内容,我进来才替换的,完全是跟着上面那篇外国人写的文章做的,后来测试时,公钥又被换回去了。很不爽没法继续。于是擅自给redis数据库设了个密码为hamapi   所以不要打我。。。)
redis设置密码 config set requirepass test123
查询密码 config get requirepass


testtesttest.png


通过save命令保存后,直接ssh远程即可登录了,无需密码,如图

fffffffffffffffffffffffffff517.png

漏洞证明:

既然有了ssh,而且在内网还是root权限,不继续怎么能行呢?
通过ssh建立一个socket5连接,本地再通过配置proxychains就可以继续内网渗透了
ssh建立socke5连接 ssh -f -N -D **.**.**.**:7777 root@**.**.**.**
接下来就扫描内网段,信息收集,再结合乌云上已经爆出的铁建的帐号密码扫弱口令了
简单测试了下,直接上结果
1、首先跳板服务器mysql帐号密码泄漏,而且还允许外联,泄漏大量信息
**.**.**.** mysql帐号lanxin 密码crcc_t20150428

msyql.png


2、仍有多台linux服务器装有redis且都为空口令导致可按同样方法远程ssh,如图

ggggggggggggggggggggggg223608.png


受影响服务器

**.**.**.**: 6379
**.**.**.**: 6379
**.**.**.**: 6379
**.**.**.**: 6379
**.**.**.**: 6379
**.**.**.**: 6379


3、

**.**.**.**  tomcat弱口令  admin  admin  服务器沦陷


tocmat.png


tomcat1.png

tomcat2.png


4、

**.**.**.**40  admin  123456

海康威视摄像头,没装插件,看不见了,。。

海康威视.png


5、

中国铁建协同管理系统  **.**.**.**:8080
弱口令账户,密码全为123456
liwei
lim
lijuan
wangjun
lili
wanghui
zhangb
yangjing
liuhui
wangjh
zih
lijian
yangyan
wjg
chenhua
lifeng
zhangjianguo
wangdong
zhangzq
liuyun
huangy
wanggx
yangling
lixiaohong


通讯录

jjjjjjjjjjjjjjjjjjjql.png


工管系统等。。。。。

hhhhhhhhhhhhhhhhhhhhhhhhhql.png


5、

**.**.**.**  企业生产计划统计管理系统  弱口令 sunps  123456


kkkkkkkkkkkkkkkkkkkkkkkkkkkkkjql.png


6、

http://**.**.**.**64   安全隐患排查系统  弱口令  libin  123456


llllllllllllllllllllllllljql.png


mmmmmmmmmmmmmmmmjjjql.png


ftp.png


7、多台华为SUG5530防火墙弱口令

**.**.**.**  **.**.**.**  **.**.**.**
弱口令admin Admin@123


这个危害有点大吧。。

SUG5530.png


8、

**.**.**.**:8080 中国铁建工程项目信息系统弱口令
123456789 123456
1 123456
7758521 123456
987654321 123456
lili 123456
yangling 123456
11 123456
andy 123456
9 123456


nnnnnnnnnnnnnnnnnnnnnjql.png


9、

http://**.**.**.**51:8080/  admin  admin  蓝盾网页防篡改系统


威胁主站以及其它站点安全
中国铁建-CN
中非
铁城监理
铁建青年网
铁建财务
国际集团
中国铁建-EN

QQ截图20151106175901.png

QQ截图20151106180234.png


10、

人力资源系统apusic弱口令  http://**.**.**.**31:6890/admin/protected/index.jsp  admin   admin


QQ截图20151108014853.png


11、其它
ftp弱口令
**.**.**.**6
**.**.**.** oracle 123456
**.**.**.**32 oracle oracle

ftp.png

QQ截图20151106220205.png


QQ截图20151106215832.png


QQ截图20151106215253.png


隐患抽样系统 **.**.**.**/login.do?reqCode=init libin 123456

QQ截图20151108021210.png

QQ截图20151108021006.png

修复方案:

累。。困死。睡觉。。

版权声明:转载请注明来源 wsg00d@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-11-11 10:41

厂商回复:

CNVD确认所述情况,已经由CNVD通过以往建立的处置渠道向网站管理单位通报。

最新状态:

暂无