漏洞概要 关注数(116) 关注此漏洞
漏洞标题: 一次成功的搜狐&搜狗内网漫游的测试纪实
相关厂商: 搜狐
提交时间: 2014-07-04 13:28
公开时间: 2014-08-18 13:30
漏洞类型: 后台弱口令
危害等级: 高
自评Rank: 20
漏洞状态: 厂商已经确认
漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系
漏洞详情
披露状态:
2014-07-04: 细节已通知厂商并且等待厂商处理中
2014-07-04: 厂商已经确认,细节仅向厂商公开
2014-07-14: 细节向核心白帽子及相关领域专家公开
2014-07-24: 细节向普通白帽子公开
2014-08-03: 细节向实习白帽子公开
2014-08-18: 细节向公众公开
简要描述:
一次比较经典的案例,虽然搜狐已经对这次案例的前半段风险进行了修补,但是后半段内网漫游还是值得各大企业学习和借鉴。
详细说明:
0x01:
在早期对搜狐网络进行测试的时候,搜集了一大批sohu的ip地址,具体案例可以参考我前面的案例,这里不是重点。
0x02:
根据收集的ip地址,进行深入挖掘,并且得到如下ip:
220.181.61.204。其实对应是app.m.tv.sohu.com这个域名(后来也得到了证实)
当时对论坛进行挖掘的时候,没有常规的文件泄漏、以及其他漏洞。
但是随即对uc_server进行弱口令测试的时候,居然发现创始人的密码是123456789。
成功的打进了这个ip的uc_server的后台:
![一次成功的搜狐&搜狗内网漫游的测试纪实]()
当时拿下后台之后,想着去提交,但是,不试试深入挖掘,又怎么知道会得到一个什么样的结果呢?这也是剑心、疯狗一直鼓励的方式,有图有真相。
0x03:
随着uc_server拿下,也就说明可以重置管理员的密码了,我这里重置了管理员的密码(后面根据对文件操作来看,这个站点的确已经废弃了,测试的过程还是尽可能不影响任何业务的情况下进行)。拿到重置的管理员密码,成功登录了discuz的后台.
0x04:
当时尝试了wooyun已经公开披露的discuz的后台拿shell的方法,效果都不太理想,便开始深入研究,进行本地测试,发现江南的鱼的disucz后台getshell是有那么点问题的,在这个地方 http://wooyun.org/bugs/wooyun-2010-045677
江南的鱼提供的测试方法是生成.html,但是我在实例上没有复现,那么我便开始尝试.htm生成,最终成功拿下该站点的webshell:
![一次成功的搜狐&搜狗内网漫游的测试纪实]()
0x05:
有了webshell,得天独厚的条件,有内网地址,有外网地址,尝试做了下内网渗透,因为考虑安全风险,没有进行提权,仅仅以Apache权限测试(实际上该linux内核已经有对应exp)。
启用了一个php的代理:http://zone.wooyun.org/content/11096
本地搭建一个nginx,就可以成功连如内网了:
![一次成功的搜狐&搜狗内网漫游的测试纪实]()
0x06:由于搜狐和搜狗的内网又是相连的,搜狗也躺着中枪:
介于此前搜狐的安全人员告诉我,希望在发布的时候要把内网ip打下码,我这里也做下适当的信息掩盖,当然,搜狐安全人员有疑问可以随时pm我的qq,或者站内短信。
![一次成功的搜狐&搜狗内网漫游的测试纪实]()
0x07:不仅仅是内网这么简单,有几个关键的业务系统也随着弱口令,乃至未授权访问,泄漏了敏感信息。具体看漏洞证明
漏洞证明:
网页开发部平台,包括跟踪系统等:
![一次成功的搜狐&搜狗内网漫游的测试纪实]()
还存在zabbix注入:
![一次成功的搜狐&搜狗内网漫游的测试纪实]()
uno管理系统:
![一次成功的搜狐&搜狗内网漫游的测试纪实]()
搜狗发现:
![一次成功的搜狐&搜狗内网漫游的测试纪实]()
可以覆盖线上环境的某个测试:
![一次成功的搜狐&搜狗内网漫游的测试纪实]()
搜狗某意见反馈后台:
![一次成功的搜狐&搜狗内网漫游的测试纪实]()
禅道:
![一次成功的搜狐&搜狗内网漫游的测试纪实]()
我不会告诉你,这里的管理员账户密码是弱口令:
![一次成功的搜狐&搜狗内网漫游的测试纪实]()
![一次成功的搜狐&搜狗内网漫游的测试纪实]()
上面的系统是还在运营的。
搜狐内部的运维系统:
![一次成功的搜狐&搜狗内网漫游的测试纪实]()
可以提交,修改,编辑线上部署:
![一次成功的搜狐&搜狗内网漫游的测试纪实]()
![一次成功的搜狐&搜狗内网漫游的测试纪实]()
就发这些了。。只做负责的披露流程,最后,搜狐有什么关于这次报告有疑问的可以来pm我。我就不匿名了。
修复方案:
1:内网应该和搜狗进行网络划分,通用一个大局域网是非常危险的。
2:内部弱口令问题非常严重,攻击者通过一个跳板进来之后很容易渗透到核心内部。
根据以上两点,进行修补。下线业务应该尽快下线,不应该仍然留在线上。
版权声明:转载请注明来源 梧桐雨@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2014-07-04 17:03
厂商回复:
感谢支持。
最新状态:
暂无
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
评价
-
2014-07-04 13:29 | 3King ( 核心白帽子 | Rank:1158 漏洞数:96 | 【study at HNUST】非常感谢大家的关注~ 大...)
1
-
2014-07-04 13:30 | luwikes ( 普通白帽子 | Rank:552 漏洞数:83 | 潜心学习~~~)
0
-
2014-07-04 13:31 | 我也不知道 ( 路人 | Rank:27 漏洞数:8 | 小新人QAQ)
0
-
2014-07-04 13:31 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)
0
-
2014-07-04 13:36 | 小人物Reno ( 普通白帽子 | Rank:482 漏洞数:117 | X)
0
-
2014-07-04 13:41 | 疯子 ( 普通白帽子 | Rank:259 漏洞数:45 | 世人笑我太疯癫,我笑世人看不穿~)
0
-
2014-07-04 13:45 | zinrokh ( 路人 | Rank:12 漏洞数:1 | 某安全公司小土鳖一只)
0
-
2014-07-04 13:46 | PythonPig ( 普通白帽子 | Rank:562 漏洞数:84 | 只会简单工具的小小菜)
0
-
2014-07-04 13:47 | xfkxfk ![一次成功的搜狐&搜狗内网漫游的测试纪实]()
( 核心白帽子 | Rank:2341 漏洞数:353 | 呵呵!)
0
-
2014-07-04 13:55 | CplusHua ( 普通白帽子 | Rank:282 漏洞数:37 | 乌云奖金:-1)
0
-
2014-07-04 13:59 | Jn· ( 路人 | Rank:30 漏洞数:14 | 本小菜很可爱,如果不服你TM来打我啊--哎呀...)
0
-
2014-07-04 14:12 | lucky ( 普通白帽子 | Rank:409 漏洞数:84 | 三人行必有我师焉########################...)
0
-
2014-07-04 14:50 | niliu ![一次成功的搜狐&搜狗内网漫游的测试纪实]()
( 核心白帽子 | Rank:1803 漏洞数:235 | 逆流而上)
0
-
2014-07-04 14:52 | Mody ( 普通白帽子 | Rank:110 漏洞数:27 | "><img src=x onerror=alert(1);> <img s...)
0
-
2014-07-04 15:10 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)
0
-
2014-07-04 15:10 | 炊烟 ( 普通白帽子 | Rank:238 漏洞数:44 | 每一天都需要努力。)
0
-
2014-07-04 15:10 | 小人物Reno ( 普通白帽子 | Rank:482 漏洞数:117 | X)
0
-
-
2014-07-04 15:53 | 123丶 ( 路人 | Rank:2 漏洞数:2 | 初学菜鸟一只,请多指教)
0
-
2014-07-04 16:16 | 魂淡、 ( 路人 | Rank:17 漏洞数:2 | 么么哒)
0
-
2014-07-04 16:32 | Fireweed ( 普通白帽子 | Rank:107 漏洞数:14 | Show me the #)
0
-
2014-07-04 17:15 | 浩森 ( 路人 | Rank:30 漏洞数:6 )
1
-
2014-07-05 11:45 | Goron ( 路人 | Rank:30 漏洞数:3 | 编程序,写代码,排八个,这些我都不会;我能做...)
0
-
2014-07-07 10:43 | Stardustsky ( 路人 | Rank:4 漏洞数:3 | ……)
0
-
2014-07-07 12:54 | Cyrils ( 实习白帽子 | Rank:47 漏洞数:12 | the more the better)
0
-
2014-07-07 16:02 | 小火苗 ( 路人 | Rank:6 漏洞数:1 | 我是一只小火苗呀,春风吹又生呀...)
0
-
2014-07-11 21:47 | Manning ( 普通白帽子 | Rank:1181 漏洞数:144 | https://github.com/manning23/MSpider)
0
-
2014-07-24 23:06 | 小胖子 ![一次成功的搜狐&搜狗内网漫游的测试纪实]()
( 核心白帽子 | Rank:1888 漏洞数:156 | 不要患得患失,我羡慕你,但是我还是选择做...)
0
-
2014-07-24 23:09 | 梧桐雨 ![一次成功的搜狐&搜狗内网漫游的测试纪实]()
( 核心白帽子 | Rank:1662 漏洞数:191 | 学无止境)
0
@小胖子 你时刻盯着啊。。。其实乌云模版很多人模仿的
-
2014-08-09 21:32 | U神 ( 核心白帽子 | Rank:1375 漏洞数:152 | 乌云核心菜鸟,此号处于联盟托管中....)
0
-
2014-08-09 22:50 | Cyrils ( 实习白帽子 | Rank:47 漏洞数:12 | the more the better)
2
-
2014-08-13 13:34 | infant ( 路人 | Rank:26 漏洞数:11 | ส้้้้้้้้้้้้้้้้้้้...)
0
-
2014-08-18 14:17 | xyang ( 普通白帽子 | Rank:350 漏洞数:82 | stay hungry stay foolish)
0
-
2014-08-18 14:19 | 野驴~ ( 路人 | Rank:5 漏洞数:3 | 充满强烈好奇心的菜鸟。)
0
-
2014-08-18 14:29 | azuer ( 普通白帽子 | Rank:127 漏洞数:31 )
0
-
2014-08-18 14:48 | D_in ( 普通白帽子 | Rank:423 漏洞数:65 | 到我嘴里来)
0
-
2014-08-18 15:04 | zzR ![一次成功的搜狐&搜狗内网漫游的测试纪实]()
( 核心白帽子 | Rank:1408 漏洞数:127 | 东方红**联盟欢迎你-0-)
0
-
2014-08-18 16:35 | feiyu ( 普通白帽子 | Rank:114 漏洞数:31 )
0
-
2014-08-18 16:38 | 梧桐雨 ![一次成功的搜狐&搜狗内网漫游的测试纪实]()
( 核心白帽子 | Rank:1662 漏洞数:191 | 学无止境)
0
@feiyu 乌云这模版这么多人要?写起来不费事啊。。
-
2014-08-20 18:15 | 小痞子 ( 普通白帽子 | Rank:106 漏洞数:21 | <xss>alert("a")</xss>¥&@&……dssKhwjcw...)
0
-
2014-08-21 08:53 | azuer ( 普通白帽子 | Rank:127 漏洞数:31 )
0
uno管理系统:那个ui是什么ui? 看到好多系统都在用
-
2014-08-22 16:47 | feather ( 路人 | Rank:10 漏洞数:4 | )( 我不是路人 | Rank:9999 漏洞数:0 |)
0
但是,不试试深入挖掘,又怎么知道会得到一个什么样的结果呢?这也是剑心、疯狗一直鼓励的方式,有图有真相。
-
2014-09-20 19:01 | 灭亡 ( 路人 | Rank:12 漏洞数:6 | 乌云打杂 偶尔发几个垃圾洞刷存在 qq83133...)
0
( 核心白帽子 | Rank:2341 漏洞数:353 | 呵呵!)
( 核心白帽子 | Rank:1803 漏洞数:235 | 逆流而上)
( 核心白帽子 | Rank:1888 漏洞数:156 | 不要患得患失,我羡慕你,但是我还是选择做...)
( 核心白帽子 | Rank:1662 漏洞数:191 | 学无止境)
( 核心白帽子 | Rank:1408 漏洞数:127 | 东方红**联盟欢迎你-0-)
( 核心白帽子 | Rank:1662 漏洞数:191 | 学无止境)
评论