对新浪的再一次渗透测试

起因， WooYun: 对新浪的一次渗透测试 ，修复不完整，401认证的密码改了，但是搭建的VPN并没有处理（直到详细报告提交给厂商时，VPN还可以直接连接）

pptp，很稳定，账户在/etc/ppp/chap-secrets，记得pptp卸载。

直接上vpn

爆破邮箱

*****X 302 false*****
 *****X 302 fals*****
 ***** 302 fals*****
 *****SX 302 fals*****
 *****X 302 fals*****
 *****SX 302 fals*****
 *****WSX 302 fals*****
  302 f*****
 

然后开始分工合作，ifso办公网，我就去生产网溜达了

ifso老司机先开一段：

https://10.210.x.x/login.html DELL Management Control

弱口令 root root

存在远程控制功能，可以成功访问Sina内网域控

如图，可以看出这台机器是新浪域控，Sina-xxxxx

由于只是处于内网环境中，无法列举出域内机器、域管理员，所以这个发现是致命的。

之前破解出的邮件弱口令派上了大用场。

基于Windows域的特性，可以配合一个经典的漏洞，就是Windows Gpp组策略漏洞。

因为每个域成员，不论权限高低都可以访问域控上的对域成员的基础共享。

搜索groups.xml，成功搜索出2个

使用Gpp-decrypt破解

成功获得2个Administrator密码：

yyQxxxxxx##@ 和xxxxxxxxx@@yyQ，应该是服务器内置的本机密码，非域里面的administrator，因为域的administrator已经被停用，去Sina-xxxxxx去尝试登陆，发现密码不对。

虽然密码不对，但只是域控的密码不对，因为服务器本机的Administrator很少启用，并且不受域策略的限制，所以其他机器的本机密码很有可能是这2个。

终于10.210.x.x的本机administrator密码是xxxxxxx@@yyQ，成功进入服务器。

抓到一部分密码

*****enxxx*****
 *****n: S*****
 *****d: xx*****
 *****......*****
 

发现xxxx就是域管理员，正好抓出的账户中就有，这个时候已经拥有内网域的最高权限。

成功进入域控制器

有了域管理员就进入了上帝模式，可以获取任何人的邮件信息和机器权限（前提要开机并且加入了域中）

尝试去导出邮件，选一个dba的xxxx吧

下面就是本地outlook看邮件了

如图，大量邮件，各种敏感信息。

下面再来证明有了域权限后，对域内个人机器的威胁。

由于域的特性，只要加入域中，就受到域的管控，并且电脑在域中的名字就是‘邮箱前缀.xxx.xxx.xx.xxx’,所以想要控制某台机器，直接远程桌面连接或者访问其IP共享即可。

域控制器上都写得清清楚楚，谁在哪个部门。哪台电脑

由于是周末，大部分电脑都关机了，找了一会找到一个

如图，一看就是员工的电脑，使用域管理员xxxxx的账号登陆，成功登陆

ssh客户端本地保存了几台服务器的密码直接连接了

员工机器上也发现了一部分数据库备份

ifso就去陪媳妇了。。。

内网还是很大的，找到某系统，进去获取一部分信息，找到一台服务器

有点意外惊喜

服务器上发现了一些运维脚本，找到了rsync，

还有很多机器的，你们自己内部排查吧，我就不贴了。

大概翻了翻服务器上面的代码，api接口还都能用

给x.x.x.x, rsync上传了一个shell，1.php，刚好是web目录直接

上面有几个G的数据库文件。。。。。。，没下载，记得删除了吧

机器上面还在往其他服务器同步代码,服务器5.4，可以root的，提权后可以接着同步代码，继续深入的

通过分析服务器上的history，找到了svn服务器地址,前期的信息收集过程获取了相关svn账户的密码，直接登录

已经证明危害，就不再深入了。

多让外部帮你们推动推动安全建设吧，只能帮你们到这里了。。。。。。

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2016-04-18 18:07

厂商回复：

感谢关注新浪安全，问题修复中。

最新状态：

暂无

1. 2016-04-18 13:44 | 刘海哥 ( 普通白帽子 | Rank:135 漏洞数:30 | 索要联系方式但不送礼物的厂商定义为无良厂...)

   2

   关注一下如何才能打雷。学习打雷技巧。

   1# 回复此人

2. 2016-04-18 13:46 | 浩天 ( 普通白帽子 | Rank:925 漏洞数:80 | 哈！躁起来！)

   1

   打透透的了

   2# 回复此人

3. 2016-04-18 13:52 | 乌云小秘书 ( 普通白帽子 | 还没有发布任何漏洞 | 第1!绝对不意气用事!第2!绝对不漏判任何一...)

   1

   新浪：这下子气氛变得有点尴尬了

   3# 回复此人

4. 2016-04-18 13:56 | Azui ( 实习白帽子 | Rank:61 漏洞数:15 | 人有两件宝，双手和大脑。)

   2

   关注一下如何才能打雷。学习打雷技巧。

   4# 回复此人

5. 2016-04-18 13:57 | 坏男孩-A_A ( 实习白帽子 | Rank:81 漏洞数:23 | 膜拜学习中)

   0

   新浪：还能不能愉快的发微博了

   5# 回复此人

6. 2016-04-18 14:10 | cwkiller ( 普通白帽子 | Rank:174 漏洞数:39 | 闭关修炼)

   0

   关注一下如何才能打雷。学习打雷技巧。

   6# 回复此人

7. 2016-04-18 14:26 | wsg00d ( 普通白帽子 | Rank:187 漏洞数:20 | 有一天， 我去世了， 恨我的人， 翩翩起舞...)

   0

   膜拜

   7# 回复此人

8. 2016-04-18 14:31 | Yuku ( 实习白帽子 | Rank:58 漏洞数:27 | 数据挖掘)

   0

   哇擦泪~

   8# 回复此人

9. 2016-04-18 14:37 | 木易 ( 普通白帽子 | Rank:347 漏洞数:70 | 不，，不要误会，我不是针对谁，我是说在座...)

   0

   来了

   9# 回复此人

10. 2016-04-18 14:38 | 随风的风 ( 普通白帽子 | Rank:259 漏洞数:96 | 微信公众号：233sec 不定期分享各种漏洞思...)

    0

    新浪：这就尴尬了

    10# 回复此人

11. 2016-04-18 14:38 | ArcticWolf ( 普通白帽子 | Rank:112 漏洞数:34 | 呃···是AW！不是AV！)

    0

    新浪：这下子气氛变得有点尴尬了

    11# 回复此人

12. 2016-04-18 14:47 | Taro ( 普通白帽子 | Rank:349 漏洞数:86 | 走向最远的方向，哪怕前路迷茫；抱着最大的...)

    0

    新浪这是怎么了？

    12# 回复此人

13. 2016-04-18 14:50 | 路人毛 ( 普通白帽子 | Rank:157 漏洞数:64 | 要想Rank给高，标题一定得屌)

    0

    打雷了

    13# 回复此人

14. 2016-04-18 14:58 | maya66 ( 实习白帽子 | Rank:87 漏洞数:31 | 低调学习中)

    0

    关注下。。。

    14# 回复此人

15. 2016-04-18 15:02 | Mr.leo ( 普通白帽子 | Rank:1314 漏洞数:176 | 说点神马呢！！)

    0

    关注一下如何才能打雷。学习打雷技巧

    15# 回复此人

16. 2016-04-18 15:12 | Pzacker ( 实习白帽子 | Rank:92 漏洞数:34 )

    0

    卧槽。。。。。。。。

    16# 回复此人

17. 2016-04-18 15:24 | JoeZ ( 实习白帽子 | Rank:35 漏洞数:9 | 求带头大哥)

    0

    关注一下如何才能打雷。学习打雷技巧。

    17# 回复此人

18. 2016-04-18 15:35 | Fire ant ( 普通白帽子 | Rank:108 漏洞数:35 | 他们回来了................)

    0

    关注一下如何才能打雷。学习打雷技巧。

    18# 回复此人

19. 2016-04-18 15:53 | js2012 ( 普通白帽子 | Rank:126 漏洞数:44 | 闭关修炼。。。)

    0

    新浪要哭

    19# 回复此人

20. 2016-04-18 15:59 | 无名 ( 实习白帽子 | Rank:41 漏洞数:9 | 我是一只小菜鸟呀，伊雅伊尔哟。)

    0

    关注一下如何才能打雷。学习打雷技巧。

    20# 回复此人

21. 2016-04-18 16:15 | Mark0smith ( 普通白帽子 | Rank:176 漏洞数:71 )

    0

    期待公开

    21# 回复此人

22. 2016-04-18 16:32 | 恶魔小西瓜 ( 路人 | Rank:7 漏洞数:3 )

    0

    关注一下如何才能打雷。学习打雷技巧。

    22# 回复此人

23. 2016-04-18 16:32 | 库日天 ( 路人 | Rank:18 漏洞数:9 )

    0

    新浪：这下子气氛变得有点尴尬了

    23# 回复此人

24. 2016-04-18 17:01 | Mr.R ( 实习白帽子 | Rank:54 漏洞数:15 | 求大神带我飞 qq2584110147)

    0

    Mark一下 以后再看

    24# 回复此人

25. 2016-04-18 17:10 | gyLinuxer ( 路人 | Rank:26 漏洞数:3 )

    0

    太牛了！

    25# 回复此人

26. 2016-04-18 17:56 | _Thorns ( 普通白帽子 | Rank:1754 漏洞数:269 | 以大多数人的努力程度之低，根本轮不到去拼...)

    0

    大表哥威武，

    26# 回复此人

27. 2016-04-18 17:57 | 天朝 ( 路人 | Rank:15 漏洞数:1 | too young too simple)

    0

    关注一下如何才能打雷。学习打雷技巧。

    27# 回复此人

28. 2016-04-18 17:57 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚，关注互联网安全)

    0

    NB!

    28# 回复此人

29. 2016-04-18 18:04 | 穿墙人 ( 路人 | Rank:15 漏洞数:1 )

    0

    这个漏洞 不是 以前 公布一次了吗？？？ 怎么又出现在这里啊

    29# 回复此人

30. 2016-04-18 18:19 | dragon110 ( 路人 | Rank:12 漏洞数:6 | 其实我是龙6)

    0

    新浪：这下子气氛变得有点尴尬了

    30# 回复此人

31. 2016-04-18 18:26 | if、so ( 核心白帽子 | Rank:1204 漏洞数:104 | Enjoy Hacking)

    0

    年轻人总想搞个大新闻

    31# 回复此人

32. 2016-04-18 19:47 | Ano_Tom ( 普通白帽子 | Rank:474 漏洞数:47 | Talk is cheap.:)

    0

    哈哈

    32# 回复此人

33. 2016-04-19 19:05 | 网络小手 ( 路人 | Rank:1 漏洞数:1 | 寻求高手指点)

    0

    @_Thorns 可以QQ聊吗

    33# 回复此人

34. 2016-04-20 22:08 | 刀仔 ( 路人 | Rank:2 漏洞数:1 | 大家好)

    1

    找个能做日本的渗透高手，利润丰厚，私密我下吧

    34# 回复此人

35. 2016-04-28 19:47 | scanf ( 核心白帽子 | Rank:1694 漏洞数:239 | 。)

    1

    老司机 学习了！

    35# 回复此人

36. 2016-05-02 23:22 | BMa ( 核心白帽子 | Rank:2078 漏洞数:229 )

    0

    爱得越深，下手越狠

    36# 回复此人

37. 2016-05-08 19:35 | _Thorns ( 普通白帽子 | Rank:1754 漏洞数:269 | 以大多数人的努力程度之低，根本轮不到去拼...)

    0

    屌！

    37# 回复此人

38. 2016-05-08 22:37 | 小红猪 ( 普通白帽子 | Rank:341 漏洞数:62 | little red pig!)

    0

    ifso就去陪媳妇了。。。

    38# 回复此人

39. 2016-05-12 14:58 | Coffee ( 普通白帽子 | Rank:144 漏洞数:15 | Corie, a student at THU.)

    0

    域控都拿下了……打透透的了

    39# 回复此人

40. 2016-05-31 00:31 | Mr .LZH ( 普通白帽子 | Rank:622 漏洞数:79 | 非妹子勿扰···)

    0

    洞主把人家邮箱都导出了。。。。。。真刺激

    40# 回复此人

41. 2016-05-31 09:32 | hkAssassin ( 普通白帽子 | Rank:395 漏洞数:73 | 我是一只毛毛虫。)

    0

    我也想说这个问题，吧人家邮件都导到本地了。这个要查水表妥妥的……（除非渗透之前得到厂商的授权）

    41# 回复此人

42. 2016-05-31 09:48 | if、so ( 核心白帽子 | Rank:1204 漏洞数:104 | Enjoy Hacking)

    0

    @hkAssassin 事实上并没有查水表，不知道楼主想表达什么意思。邮件并没有在本地，还是sina的机器上。

    42# 回复此人

43. 2016-06-01 15:04 | Jumbo ( 普通白帽子 | Rank:132 漏洞数:33 | 猫 - https://www.chinabaiker.com)

    0

    如何导出mail的

    43# 回复此人

44. 2016-06-02 19:18 | Cacker ( 路人 | Rank:21 漏洞数:9 | 小菜鸟。大神见笑了。)

    0

    不错，很精彩。

    44# 回复此人

45. 2016-06-02 20:10 | 布 ( 普通白帽子 | Rank:105 漏洞数:37 | 凡人皆有一死)

    0

    牛逼！

    45# 回复此人

46. 2016-06-02 21:27 | Any3ite ( 路人 | Rank:26 漏洞数:12 | 土耳其web 国内的我就看看不说话)

    0

    关注一下如何才能打雷。学习打雷技巧。

    46# 回复此人

47. 2016-06-06 10:28 | 卡卡 ( 普通白帽子 | Rank:468 漏洞数:57 | <script>alert('安全团队长期招人')</scrip...)

    0

    老司机就是厉害

    47# 回复此人