微盟之蚂蚁的力量(影响上千台服务器安全)

有句话：千里之堤毁于蚁穴

先看一下可能造成的影响力，注册用户数170万，如果170万里面哪怕有10万活跃用户，也就是关联了公众号的，那这10万用户公众号又会牵扯到多少粉丝用户呢，其造成的连锁影响不敢想象，而最魁祸首就是弱口令：“123456”

注：怎么确定这个是用户表呢？我自己注册了一个号在这个表里面查到了我的账号，所以这个可以确认就是用户表，没做深入，点到为止。

1.找到蚂蚁

首先看了一下微盟在乌云的历史安全记录，收集到了jira的地址，发现该Jira还可以注册，于是随便注册了一个账号：wenzhang.lai

进来之后发现可以查看很多项目，但没有从项目中得到什么有用信息，从之前收集的信息得到有一个bable.weimob.com上面有很多企业内部信息，但发现注册的账号并不能登录bable平台，于是打算爆破一下用户，从jira里面随便搜集了一些用户，要说也是运气好，很快就爆出了弱口令密码

王海燕：123456

而且还是在管理组

真的只能说是运气好，但是该用户一样无法登录bable，对jira查看后发现了ldap

看到ldap，想到可能会有统一登录认证，可能ldap的用户是可以登录bable的，看了下ldap，IP是外网地址，于是工具试了一下匿名访问，竟然可以访问到

虽然不知道admin的密码，但可以拿到用户名，于是拿从ldap拿到的用户名加上密码123456又爆破了一次，成功爆到一个用户：

emma.li：123456

尝试登录bable，成功

重点浏览了一下运维团队

利用拿到的ldap账号可以顺利登录以下平台

其中，上面最后一个系统真的把我吓到了，通过最后一个系统发现，微盟使用的基本上全部都是阿里的服务器，记录显示共1014台虚拟机，微盟真的发展太厉害了，佩服。

不过也正是因为就是这个系统让所有服务器全部沦陷，包括处于production的，且看

2.蚁穴

该平台有一个很牛逼的功能，是文件查看：

不仅可能查看目录，还可以查看文件

抓包发现其调用的url:

获取列表：

获取内容：

那么通过这两个url即可遍历服务器所有内容了

先通过获取列url表拿到文件列表，再通过获取内容url获取具体内容，相当于服务器被getshell。

演示其中一台服务器，即www.weimob.com主站服务器：

通过平台得知主站集群其中一台ip为：10.168.174.112

获取根目录列表：

获取/etc/passwd

通过url遍历可以查看到服务器数据库连接信息，因为使用的是阿里的RDS,且是内网地址，所以直接连接连接不上，需要通过处在同一个大区的阿里的ECS来连接，幸运的是我本地的一台ecs正好和该rds处在同一个大区，于是顺利连接上服务器，也就有了一开始的170万用户的截图

注：以上url在获取路径过程中路径必须以程序里面要求的开头，然后通过../回退到指定的目录，包括文件操作也是

上千台服务器就这么因为一个弱口令变得赤裸裸。

为方便乌云君验证漏洞准确性，我把上面打码的url打出来，希望乌云君验证完后把url打码

获取路径：

http://oms.weimob.com/cmdb/listdir?_dc=1459602258583&ip=10.168.174.112&dirname=/data/log/nginx/access/../../../../

获取内容：

http://oms.weimob.com/cmdb/getfilecomment?_dc=1459602153542&ip=10.168.174.112&dirname=/data/log/nginx/access/../../../../../../../../etc/passwd

全员安全培训

厂商回应：

危害等级：高

漏洞Rank：18

确认时间：2016-04-06 11:17

厂商回复：

非常感谢你的提醒，我们会立即修复。随后会寄上我们的礼品给你。(请留下联系方式)

最新状态：

2016-04-06：已修复

1. 2016-04-06 10:38 | 微盟(乌云厂商)

   1

   非常感谢你的提醒，我们会立即修复。随后会寄上我们的礼品给你。(请留下联系方式)

   1# 回复此人