当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0189852

漏洞标题:对某云厂商有云UnitedStack的一次渗透测试—可突破网络边界漫游内网

相关厂商:ustack.com

漏洞作者: 路人甲

提交时间:2016-03-28 09:51

修复时间:2016-05-12 11:15

公开时间:2016-05-12 11:15

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-03-28: 细节已通知厂商并且等待厂商处理中
2016-03-28: 厂商已经确认,细节仅向厂商公开
2016-04-07: 细节向核心白帽子及相关领域专家公开
2016-04-17: 细节向普通白帽子公开
2016-04-27: 细节向实习白帽子公开
2016-05-12: 细节向公众公开

简要描述:

3次路过的你,每次都不一样。

详细说明:

乌云之所以叫乌云就是因为对云安全的顾虑,所以这次对一家云厂商进行了渗透测试,希望各个云厂商可以以此为鉴避免出现类似的问题。
一、信息收集
渗透的开始,需要无比的耐心和细心,以在各种明显的地方或者阴暗的角落里发现蛛丝马迹。
1. 域名
通过暴力破解二级域名收集到以下几个有用的域名

http://socks.ustack.com     confluence系统,和jira进行了整合,直觉上会是个切入点
http://jira.ustack.com      jira
http://project.ustack.com   不知道干嘛的
https://www.ustack.com      公司官网,一般防护都很严


2. github
现在github已经成为敏感信息泄露的重灾区,码农虽然被各种项目摧残,还是需要一些基本的安全意识的。
在一个项目文件里发现了如下密码相关的信息

m_50.jpg


github有一点比较好的就是email是公开的!

m_51.jpg


这位员工可能已经离职了,希望厂商可以尽责任通知到这位前公司员工。

[email protected]
yanjiao3886891


二、寻找切入点—3次路过的jira系统
1.第1次路过
第一次路过你时,只能看到犹抱琵琶半遮面的你。只有一个UOS相关的手册,没有任何编辑或者查看更多信息的权限。

52.PNG


2. 第2次路过
第一步信息收集到的邮箱是某已离职员工的私人邮箱,我不明白私人邮箱为啥会有那么多公司的敏感信息。在某个PDF文档中,泄露了jira的一个普通用户权限。

用户名:gerrit-bot
密码:wangwei


m_53.jpg


所以再次路过你时,对你有了新的解读。这次是以一个普通用户登录的,可以看到很多敏感信息。

m_54.jpg


特别是看到的这个信息,预感到可能是个切入点。虽然一般情况下,官网是防护最严的,但不知为啥,当时就是觉得可以从这里突破。

m_17.jpg


然后从jira和confluence里收集到管理员习惯给员工设置的密码,如

UnitedStack!
UnitedStack123


然后收集wordpress的用户名,用burpsuite跑了1次就跑出来了,还是一个管理员!不用说了,后台插件那里直接getshell

用户名:freedomhui
密码:UnitedStack!


m_18.jpg


3. 第3次路过
因为公司将部分域名指向内网IP,所以前期通过域名暴力破解收集到的信息已经将暴露了内网的部分架构,省去了不少内网探测的时间。

m_55.jpg


上传reGeorg代理神器后,直入内网,通过域名显示的IP信息,逐一访问了几个系统,最后将目标锁定在zabbix上,因为zabbix里记录了公司各种服务器的信息,可以简单的勾画出网络拓扑,而且zabbix的密码是单次md5加密,破解后可以为进一步渗透提供更多信息。

http://zabbix.ustack.com


但默认密码已被修改,暴力破解有防护机制,只能通过其他方式突破。正在一筹莫展时,忽然看到了zabbix的mysql数据库的密码,顿时眼前一亮,密码是32位的类似md5的东西,习惯性的我还去解密了,但其实密码就是32位的字符串 0.0

m_zabbix.jpg


连上数据库后,导出用户和密码hash,破解了admin和某个员工的密码。

用户名:admin
密码:ustack228
用户名:liqian
密码:c@iXin001


第二个用户非常重要,因为她是jira和confluence的管理员,能看到所有的内容。
所以第3次路过你时,已经完全拥有你了0.0 。然后我看到了这个页面,然后就惊呆了!OTZ。 这应该是你们几个重要客户的后台吧,如果拿到这个权限,就表示获取了所有云主机的权限。

m_56.jpg


这是你们某客户的运营后台,可以添加任意用户,然后给该用户赋予所有云主机的权限!

m_57.jpg


三、深入内网
1. git
根据内部wiki和各种系统收集的信息,发现公司的一个重要的系统git使用了Ldap登录,因为没有暴力破解限制,于是导入用户名进行爆破。初始密码是这个,管理员已经提醒了,一定要修改密码,但好多人还是没有改。返回长度507的就是没有改密码的。

changeme


m_git.jpg


然后就是公司的各种代码。

m_git1.jpg


2. DMZ
员工去生产网调试的时候都需要拨VPN,但是公司官网竟然没有和生产网隔离!也就是说DMZ直通业务网段 0.0 举几个生产网段的IP。

10.4.*.*
10.5.*.*


挂了一个PHP的扫描脚本专门扫描80端口,发现几个远程管理卡和几个客户的官网页面。

m_远程管理卡2.jpg


3. VPN
如果想突破VPN就要先找到VPN的地址 0.0 在前期信息收集时并没有找到VPN的地址。但通过泄露的密码获取到1台SSH的服务器权限,通过查看last信息,发现公司的几个VPN登录地址。

m_vpn.jpg


后来发现登录VPN是需要google二次验证码的,而管理员会把二维码发到部分员工的邮箱里,但通过破解的2个邮箱并没有发现二维码图片 >.<
所以测试就到这里。

漏洞证明:

见详细说明。这里还有一些信息,都改了吧。记得修改jira里记录的“[保密]公司重要公共账号密码”里的所有密码。

zabbix
admin/ustack228
还有其他大量是
qq企业号
2853788770/United5tack!
ssh 
root/Ustack2015
qq企业邮箱
[email protected]
eeqy5781730
[email protected]
c@iXin001


修复方案:

其实感觉整个公司的安全还是做的不错的,但还是猪猪侠的那句话。

安全是一个整体,保证安全不在于强大的地方有多强大,而在于真正薄弱的地方在哪里。


修复建议如下:
1. 虽然有跳板机、VPN和3层访问控制各种限制,但是没有绝对的安全,不要以为通过这些就能保护网络的安全,一个正向代理的脚本就能突破所有限制进入内网。
2. 对外重要的业务,比如官网,建议上WAF。
3. 公有DNS不要将指向内网IP,这样把会泄露内网的架构。
3. 内网规划不合理,DMZ和生产网直通,没有任何限制,建议合理规划内网。
4. 加强培训内部员工安全意识,不往github上传敏感代码和信息。
5. 非常重要的信息不要写在对外的WIKI里(虽然只是端口对外),比如用户名和密码这类东西。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:17

确认时间:2016-03-28 11:15

厂商回复:

感谢路人甲,确认由员工邮件泄漏引起的安全问题,正在修复,谢谢。

最新状态:

暂无