当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-019917

漏洞标题: 从一个默认口令到youku和tudou内网(危害较大请尽快修复)

相关厂商:优酷

漏洞作者: X,D

提交时间:2013-03-11 16:52

修复时间:2013-04-25 16:53

公开时间:2013-04-25 16:53

漏洞类型:应用配置错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-03-11: 细节已通知厂商并且等待厂商处理中
2013-03-11: 厂商已经确认,细节仅向厂商公开
2013-03-21: 细节向核心白帽子及相关领域专家公开
2013-03-31: 细节向普通白帽子公开
2013-04-10: 细节向实习白帽子公开
2013-04-25: 细节向公众公开

简要描述:

俺是一个youku用户,几天前发现了youku一个漏洞,最近忙其他事情,懒得深入了,今天有空来提交下,
做了进一步的测试,测试步骤会我会详细列出,希望这么大的公司尽快注意安全啊

详细说明:

习惯性的ping一下。
ping youku.com 一般情况下,www.youku.com 会走CDN youku.com应该不会吧

1.jpg


扫一扫,扫了一个C 80端口无明显漏洞,然后扫8080
存在问题的是123.126.99.76 8080 Open
这是一个zenoss 的监控系统,默认密码没有改,导致此次渗透
login admin/zenoss
最初对zenoss了解太少,经过进一步的研究发现可以得到shell
zenoss有一个Commands功能,可以执行任意命令。

1.jpg


1.jpg


需要将命令改成自己需要的
在执行命令的时候 需要找一个被监控的机器

1.jpg


反弹后得到shell

1.jpg


一看有内网IP,于是进行了进一步渗透测试,但是让我很郁闷的是,没有使用类似zabbix,puppet,ldap等类似权限较大的东西。渗透起来比较费劲。不过好在有IP信息。
到这里想起 剑心大牛在zone发表的一篇文章
http://zone.wooyun.org/content/1693
边界神器,低权限开socks5代理。但是执行报错,没有安装依赖包,我也没有root权限。执行二进制文件都缺少依赖包,在这里提醒我,以后linux安全可以考虑把这些依赖包删除,防止别人提权。
zenoss很多都是运用python来监控,自然zenoss这个用户肯定有运行python的权限。于是拿出另外一个边界神器py版开socks代理
代理开启之后,又遇到一个问题,端口被档掉了。似乎整个C端对外开放的只有80,8080,81 三个端口。8080和80端口被占用了,在81端口启代理失败的。
于是随便启了端口,然后利用端口转发,把代理端口转发到公网来。
使用ProxyCap代理指定的程序
有了代理之后,开始对内网进行端口扫描,根据服务器的last记录 确定登陆服务器的来源

1.jpg


IP 10.10.66.106
对10.10.0.0/16 进行3389和1433端口扫描
nmap -Sv -p 1433 10.10.0.0/16 -oX 1433log.log
有十来个机器开了1433端口 通过之前的代理 使用查询分析器挨个试弱口令。最后确认
10.10.111.100 sa 空密码。
3389也开着。
直接添加了一个youku的用户。
通代理直接登陆到该服务器。
到了这里之后,进行了其他弱口令的扫描
10.10.65.92 "root/123456"
10.10.65.129 "root/111111"
10.10.65.133 "root/123456"
10.10.221.61 "root/123456"
10.10.221.63 "root/123456"
10.10.236.11 "root/123456"
以上的这些机器似乎都没有外网IP。干不了其他事情。
继续挖边界漏洞。
经过一些web漏洞的挖掘 10.5.*.* 这个是土豆的内网。
10.5.111.29
10.5.105.2
这两个机器也有sa 弱口令,具体什么命令我也忘记了
利用远程管理卡默认口令,找到这么一个服务器。
远程管理卡的IP我给忘记了。只记得物理IP(修漏洞的时候,你们自己找找吧)
10.105.60.62 外网IP:220.181.154.91/123.126.98.141(这个机器留有rootkit麻烦及时清理)
通过该服务器 做了一个socks5代理,代理端口8080,因为防火墙对8080没有限制,所以这里代理端口我用了8080
启这个代理是为了不通过端口转发直接连接内部的服务器。
后续找了些其他的漏洞,
10.103.13.33 Hudson
java.lang.Runtime.getRuntime().exec('id')
Hudson 也是可以执行任意命令的,(你们自己加个认证吧)
AD域,
进到10.10.111.100 这个服务器之后发现,很多加域的服务器都在10.10.0.* 这个段。
于是想通过一个web漏洞或其他漏洞拿到10.10.0.*任意个服务器的权限,这样可以离拿到域的控制权更近一步。
经过痛苦的扫描,
找到这么一个问题。
10.10.0.13 sa 1QAZ2wsx
弱口令吧,
连接上去之后发现域管理员administrator 也在线。(感慨一下,安全意识啊)
于是,开启了这个服务器的shift后门,直接切到域管理员。
至于然后,你们都懂了......

漏洞证明:

如上;

修复方案:

撸过,修复方案你们懂的,带来困扰请谅解

版权声明:转载请注明来源 X,D@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-03-11 16:57

厂商回复:

马上修复

最新状态:

暂无

漏洞评价:

评论

  1. 2013-03-11 16:53 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    貌似那个任意修改密码的还没修哪....

  2. 2013-03-11 16:58 | Jannock 认证白帽子 ( 核心白帽子 | Rank:2278 漏洞数:204 | 关注技术与网络安全(招人中,有兴趣请私信...)

    这个牛。。。

  3. 2013-03-11 17:00 | X,D ( 普通白帽子 | Rank:143 漏洞数:8 | X,D)

    我日,,忘记问礼物了,,youku这个你得表示下吧。

  4. 2013-03-11 17:01 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @X,D 顺便给乌云发送一批vip好咩?

  5. 2013-03-11 17:02 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    到youku和tudou内网,他们IDC是相通的?隔壁?又是一篇大作啊,关注!

  6. 2013-03-11 17:02 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    关注

  7. 2013-03-11 17:03 | X,D ( 普通白帽子 | Rank:143 漏洞数:8 | X,D)

    @优酷 ,看你的了,来一批VIP,渗透测试很累的有木有?@xsser

  8. 2013-03-11 21:32 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    关注。。。

  9. 2013-03-12 00:25 | Blackeagle ( 实习白帽子 | Rank:62 漏洞数:10 | 向WooYun致敬)

    果断mark 坐等洞主的vip

  10. 2013-03-12 00:32 | X,D ( 普通白帽子 | Rank:143 漏洞数:8 | X,D)

    优酷 说vip不好送,据说送点个U盘到wooyun集市。换吧

  11. 2013-03-12 09:14 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    先关注下。。

  12. 2013-03-12 12:08 | rootsecurity ( 实习白帽子 | Rank:77 漏洞数:20 | 关注开源,关注网络安全!INSERT INTO `w...)

    围观

  13. 2013-03-22 09:48 | possible ( 普通白帽子 | Rank:373 漏洞数:32 | everything is possible!)

    好牛的过程

  14. 2013-04-01 09:48 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    撸主,真尼玛牛逼

  15. 2013-04-01 09:59 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    这个分析的好。要花不少的时间啊!某库已经在手了吧…………

  16. 2013-04-01 12:15 | stephanie ( 普通白帽子 | Rank:154 漏洞数:22 | test)

    我日,类似监控系统不做源ip限制呀

  17. 2013-04-01 13:26 | qiaoy ( 普通白帽子 | Rank:110 漏洞数:16 )

    不错!

  18. 2013-04-01 18:01 | Z-0ne 认证白帽子 ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究,工业数据采集...)

    非常给力的过程

  19. 2013-04-01 22:32 | 非米特尼克 ( 普通白帽子 | Rank:123 漏洞数:13 | 信息安全从业和爱好者。)

    花了不少时间,呵

  20. 2013-04-02 18:36 | blrk ( 实习白帽子 | Rank:66 漏洞数:6 | 粪豆褶)

    膜拜~~

  21. 2013-04-03 08:07 | ‫‌ ( 实习白帽子 | Rank:76 漏洞数:14 )

    @X,D 那就让送塞

  22. 2013-04-11 09:09 | 小仙仙 ( 路人 | Rank:23 漏洞数:8 | 吊丝做完全)

    膜拜

  23. 2013-04-11 10:04 | iskit ( 路人 | Rank:9 漏洞数:3 | 技术交流)

    洞主过程很犀利

  24. 2013-04-12 21:57 | jing ( 路人 | Rank:6 漏洞数:1 | 小菜一枚~)

    教训是一定要改默认密码啊~

  25. 2013-04-14 22:48 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    很多厂商内网都很脆弱,我这能VPDN进去的内网都是一日千里。

  26. 2013-04-16 14:57 | 墨水心_Len ( 实习白帽子 | Rank:70 漏洞数:15 | PKAV技术宅 | 每一个有文化的东西,我们都...)

    V5...

  27. 2013-04-18 14:34 | suclogger ( 路人 | Rank:0 漏洞数:1 | suclogger)

    开启了这个服务器的shift后门,直接切到域管理员。这个是怎么实现的呀~

  28. 2013-04-19 09:34 | xfkxfk 认证白帽子 ( 核心白帽子 | Rank:2179 漏洞数:338 | 呵呵!)

    这过程,这思路,给力,目测大牛的干活!!!

  29. 2013-04-22 15:32 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    前来膜拜+学习

  30. 2013-04-22 15:36 | X,D ( 普通白帽子 | Rank:143 漏洞数:8 | X,D)

    @gainover 惊动了gn 受宠若惊!

  31. 2013-04-22 19:45 | 冰锋刺客 ( 普通白帽子 | Rank:113 漏洞数:14 | 请在监护人陪同下与本人交流)

    很强大

  32. 2013-04-25 21:38 | 偉哥 ( 实习白帽子 | Rank:67 漏洞数:11 | 哥是没帽子)

    我日,个人觉得像这样的,应该直接RMB补贴!要不然,碰上黑帽子就脱库卖钱了……

  33. 2013-04-25 22:33 | 小震 ( 路人 | Rank:8 漏洞数:3 | ~)

    膜拜= = 。。。

  34. 2013-04-25 22:59 | 陈再胜 ( 普通白帽子 | Rank:121 漏洞数:13 | 微博收收听~~~●﹏●)

    我竟然看懂了!

  35. 2013-04-25 23:04 | cnbird ( 普通白帽子 | Rank:547 漏洞数:47 | http://blog.csdn.net/cnbird2008)

    边界神器py版开socks代理http://www.80vul.com/src/s5.py是说的这个吗?

  36. 2013-04-26 00:23 | Major ( 实习白帽子 | Rank:42 漏洞数:7 | 我是来溢出的···卡吗?AAAAAAAAAAAAAAAA...)

    大作!膜拜!

  37. 2013-04-26 08:46 | xsleaf ( 实习白帽子 | Rank:52 漏洞数:5 | 探索无尽的网海~)

    大作!渗透需要下辛苦啊!!

  38. 2013-04-26 09:07 | 慕林 ( 路人 | Rank:16 漏洞数:1 | 好钻研, 爱安全)

    很清晰的分析与表达, 膜拜~~~~

  39. 2013-04-26 09:16 | solihat ( 路人 | Rank:10 漏洞数:3 | white hat,webapp security)

    @X,D 求边界神器py版本及linux普通权限端口转发方法

  40. 2013-04-26 09:35 | saline ( 普通白帽子 | Rank:231 漏洞数:32 | Focus On Web Secur1ty)

  41. 2013-04-26 09:44 | x1aoh4i ( 普通白帽子 | Rank:403 漏洞数:62 )

    @X,D 膜拜 牛的一比啊 真心大作

  42. 2013-04-26 12:37 | 专业种田 认证白帽子 ( 核心白帽子 | Rank:1425 漏洞数:182 | 没有最专业的农民,只有更努力地耕耘..........)

    看来非业务的东西都不放外网了

  43. 2013-04-26 12:42 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @专业种田 种田种这么久还不懂这个道理啊

  44. 2013-04-26 17:07 | 专业种田 认证白帽子 ( 核心白帽子 | Rank:1425 漏洞数:182 | 没有最专业的农民,只有更努力地耕耘..........)

    @xsser 谢谢点醒,有时候种了土豆,忘了马铃薯,以后得科学种田。

  45. 2013-04-26 18:41 | X,D ( 普通白帽子 | Rank:143 漏洞数:8 | X,D)

    @solihat http://zone.wooyun.org/content/1693

  46. 2013-04-26 18:42 | X,D ( 普通白帽子 | Rank:143 漏洞数:8 | X,D)

    @cnbird 应该是这个,zone里面我也有说到的http://zone.wooyun.org/content/1693

  47. 2013-04-27 10:23 | solihat ( 路人 | Rank:10 漏洞数:3 | white hat,webapp security)

    @X,D 端口转发用的是啥神器?webshell自带那种转发感觉不稳定,老掉线

  48. 2013-04-29 18:27 | hacker@sina.cn ( 普通白帽子 | Rank:288 漏洞数:27 | ANONYMOUS)

    跪了, 求弱口令密码字典

  49. 2013-06-08 14:50 | syjzwjj ( 路人 | Rank:27 漏洞数:3 )

    学习了

  50. 2013-10-22 15:09 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

    mark

  51. 2014-05-05 23:29 | 小贱人 ( 路人 | Rank:4 漏洞数:3 | 资深菜鸟,)

    mark

  52. 2014-05-13 09:51 | bitcoin ( 普通白帽子 | Rank:715 漏洞数:218 | 学习是最好的投资!)

    学习了!