当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0161287

漏洞标题:威锋网某服务器运维不当获取shell且可重置全网千万用户密码

相关厂商:weiphone

漏洞作者: getshell1993

提交时间:2015-12-14 19:33

修复时间:2016-01-28 17:10

公开时间:2016-01-28 17:10

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-14: 细节已通知厂商并且等待厂商处理中
2015-12-18: 厂商已经确认,细节仅向厂商公开
2015-12-28: 细节向核心白帽子及相关领域专家公开
2016-01-07: 细节向普通白帽子公开
2016-01-17: 细节向实习白帽子公开
2016-01-28: 细节向公众公开

简要描述:

中途被发现,但是没清查彻底
发现安全事故时应该排除彻底,而不是草草了之。

详细说明:

大半夜,发现威锋此IP: 61.129.68.221
开了3306,且存在弱口令
账号: weiphone 密码: weiphone
接着获取高权限root账号密码
mysql weiphonead

mysql.png


此服务器上面运行着cacti

cacti.png


可以知道settings表有cacti的web路径

webroot.png


根据以往经验本想速战速决写shell,发现mysql没写权限

write.png


账号admin 密码iammecn 成功登陆

index.png


cactis.png


这个系统后台可以执行命令不过当时折腾一阵子还是搞不定。。
WooYun: cacti后台登陆命令执行漏洞
下载反弹那出了问题

漏洞证明:

到了第二天,发现昨天晚上的动静让威锋管理员发现了,系统登录不上。
admin密码被修改了,而且解不出来。但管理员还是不够机智,mysql的弱口令没改,于是等到6点,差不多下班的时候,登陆数据库改了admin的密码。
然后找sky帮忙反弹shell。啪一下几分钟就搞定了。。。。(我就知道他一直都很快)
http://61.129.68.221/tmp.php

shell.png


服务器上还有另一个系统

24.feng.png


http://24.feng.com/index.php?r=login/login&rel=http%3A%2F%2F24.feng.com%2Findex.php%3Fr%3DOrder%2FList

shijian.png


看了下数据库可以知道是日常威锋的各种监控数据,就不登录进去看了。

jiankong.png


然后把admin密码还原了回去
最后发现一颗深水炸弹。。。。。。。。

mail.png


SMTP配置文件

mask 区域 
*****rname	iam*****
*****assword	*****


登录之

weifengmail.png


发现居然是威锋用户注册发送验证码和重置密码专用邮箱
打开一个看一下

chongzhi.png


直接就可以重置密码了

passwords.png


为了不影响用户就不进一步重置了。
从官网最新数据看用户千万以上。

yonghu.png

修复方案:

修改mysql弱口令,发现安全事故时应该排除彻底,而不是草草了之。

版权声明:转载请注明来源 getshell1993@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-12-18 14:17

厂商回复:

谢谢,正在修复中

最新状态:

暂无