2年前 (2016-10-27)  漏洞库 |   抢沙发  0 
文章评分 0 次,平均分 0.0
[收起] 文章目录

漏洞概要 关注数(23) 关注此漏洞

缺陷编号: WooYun-2014-74186

漏洞标题: 途牛旅游网某后台无验证导致getshell内网漫游

相关厂商: 途牛旅游网

漏洞作者: 一个狗

提交时间: 2014-08-28 12:04

公开时间: 2014-10-12 12:08

漏洞类型: 未授权访问/权限绕过

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签: 管理后台对外 安全意识不足 后台被猜解 安全意识不足 内网毫无防御力



漏洞详情

披露状态:

2014-08-28: 细节已通知厂商并且等待厂商处理中
2014-08-28: 厂商已经确认,细节仅向厂商公开
2014-09-07: 细节向核心白帽子及相关领域专家公开
2014-09-17: 细节向普通白帽子公开
2014-09-27: 细节向实习白帽子公开
2014-10-12: 细节向公众公开

简要描述:

途牛网站某后台无验证访问且可以getshell,之后导致了整个内网沦陷。

详细说明:

一个类似后台的地方暴露上传接口,然后用00截断就能任意上传。

首先,漏洞出现的地方是:

tuniu1.jpg

burp截包看数据:

tuniu2.jpg

上传的文件会以focus_x.txt的形式保存在当前目录,其中x可控。

可以在recommendTitle中写入一句话木马,之后通过00截断可以绕过txt的后缀检查,上传一个简单的shell。

漏洞证明:

执行了一些命令。

tuniu3.jpg

tuniu4.jpg

tuniu5.jpg

34后面应该负载了几台服务器,用菜刀连上来看了看。

10.10.0.103

tuniu6.jpg

10.10.0.95

tuniu7.jpg

10.10.0.108

tuniu8.jpg

10.10.0.102

tuniu9.jpg

看一下netstat

tuniu10.jpg

发现了zabbix_agent

之后反弹了shell到一个服务器上,用tmux保存了一下session,暂时睡觉了。

第二天咯,把内网啪啪啪转发了出来,zabbix不是弱密码,看来运维的安全意识比youku土豆强一些XD

发现了一个WordPress,看看用户名。

tuniu11.jpg

tuniu12.jpg

发现一个phpmyadmin,用万能密码能进来,之后又尝试,发现弱密码root/root

tuniu13.jpg

写shell,上菜刀,发现了一些厉害的事情。

tuniu14.jpg

tuniu15.jpg

Pwdump7.exe

Administrator:500:A1A072F580871DC3B14FD58A657A9CA6:B29B766F15B2656ECBDA4BD4D9162879:::

Guest:501:NO PASSWORD*********************:31D6CFE0D16AE931B73C59D7E0C089C0:::

admin:1003:32CE7A3887D3C2BFAAD3B435B51404EE:AF8E92EBC4D8A71C21BDA8F29C7338CD:::

__vmware_user__:1006:NO PASSWORD*********************:NO PASSWORD*********************:::

wps:1008:640D673C94B89529AAD3B435B51404EE:79369B32EE1E36EF16FFB708FD5F5BA8:::

postgres:1011:A1A072F580871DC3B14FD58A657A9CA6:B29B766F15B2656ECBDA4BD4D9162879:::

pentest:1013:C170CDC8BAD80F1A2430574B6E34A817:C90D069B9B5EBA845349B042DBAF1BC3:::

administrator tuniu2906

tuiniu16.jpg

另外一台弱口令的服务器

10.10.10.120

administrator tuniu520

tuniu17.jpg

财务报表?

利用mssql命令执行搞定

172.22.0.110

用户名: siweb

密码: siweb

tuniu18.jpg

这个机器里面的数据库应该很多东西吧~XD

如果dump一下是不是又是大裤子一枚?只是本狗太有节操了,没zuosi。

截图太累了到此为止吧~

修复方案:

开发的安全意识太差,后台暴露,而且代码也有bug,在内网各种弱密码,觉得内网就能安全了吗?

有点遗憾的是本狗搞了两天忘了放后门,忙了忙别的事情。结果过了一个礼拜那个后台403了外面没法访问了,不然还能继续探索内网。

给开发们统一上上课,至少别在到处乱用弱密码了。

版权声明:转载请注明来源 一个狗@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-08-28 12:26

厂商回复:

感谢一只狗提交的漏洞,这漏洞在我们安全人员去参加kcon v3 的时候已经从小伙伴那边得知,不知洞主是否是我们安全人员认识的小伙伴,这漏洞给了我们一个很好的提醒,先确认再后续处理后门shell的问题,漏洞也已经修补,Thanks,欢迎继续测试!

最新状态:

暂无


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价
(共0人评价):




登陆后才能进行评分


评价

  1. 2014-08-28 12:06 |
    疯子
    ( 普通白帽子 |
    Rank:259 漏洞数:45 | 世人笑我太疯癫,我笑世人看不穿~)


    0

    一个狗提交了途牛旅游网某后台无验证导致getshell内网漫游

  2. 2014-08-28 13:02 |
    xsser
    认证白帽子
    ( 普通白帽子 |
    Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)


    0

    @疯子 你关注的 疯子 发表了评论

  3. 2014-08-28 14:41 |
    U神
    ( 核心白帽子 |
    Rank:1375 漏洞数:152 | 乌云核心菜鸟,此号处于联盟托管中....)


    1

    @xsser 厂商回复:感谢一只狗提交的漏洞

  4. 2014-08-28 16:39 |
    greg.wu
    ( 普通白帽子 |
    Rank:1044 漏洞数:121 | 打酱油的~)


    0

    感谢一只狗提交的漏洞

  5. 2014-08-28 17:00 |
    depycode
    ( 普通白帽子 |
    Rank:299 漏洞数:53 | 关注网络安全,提高技术!)


    0

    感谢一只狗提交的漏洞

  6. 2014-08-28 17:01 |
    围剿
    ( 路人 |
    Rank:17 漏洞数:5 | Evil decimal)


    0

    感谢一只狗提交的漏洞

  7. 2014-08-28 17:36 |
    loli
    认证白帽子
    ( 普通白帽子 |
    Rank:649 漏洞数:59 | 每个男人心中都住着一个叫小红的88号技师。)


    0

    @xsser 你关注的 xsser 发表了评论

  8. 2014-09-17 15:52 |
    大大灰狼
    ( 普通白帽子 |
    Rank:278 漏洞数:64 | Newbie)


    0

    他叫一个狗

  9. 2014-10-13 09:48 |
    char
    ( 路人 |
    Rank:13 漏洞数:3 | 中国平安,不只保险这么简单。)


    0

    他叫一个狗

  10. 2014-10-31 21:28 |
    redrain有节操
    ( 普通白帽子 |
    Rank:210 漏洞数:30 | ztz这下子有165了!>_<'/&\)

    0

    膜拜我家一个狗

登录后才能发表评论,请先 登录



发表评论

暂无评论

只支持第三方帐号登录注册






切换登录

注册

扫一扫二维码分享