当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-037729

漏洞标题:it168/51cto/opera等多个厂商memcache端口对外开放(批量检测实例)

相关厂商:cncert国家互联网应急中心

漏洞作者: farmer

提交时间:2013-09-21 23:23

修复时间:2013-11-05 23:23

公开时间:2013-11-05 23:23

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-09-21: 细节已通知厂商并且等待厂商处理中
2013-09-26: 厂商已经确认,细节仅向厂商公开
2013-10-06: 细节向核心白帽子及相关领域专家公开
2013-10-16: 细节向普通白帽子公开
2013-10-26: 细节向实习白帽子公开
2013-11-05: 细节向公众公开

简要描述:

简单脚本实现:批量检测存在对外开放memcache的厂商

详细说明:

1.抓乌云厂商域名,抓后使用grep awk把域名提取出来,excel分列功能也可以,略过

#!/bin/bash
for ((i=1;i<24;i++))
do
        curl http://www.wooyun.org/corps/page/$i|grep nofollow >> wooyun.txt
done


2.域名解析为IP地址,获取厂商所在的IP段。

#!/bin/bash
while read oneline  
do    
  dig ${oneline}|grep IN|grep A|tail -n 1|awk '{printf $5"\n"}' >> ip.txt
done < wooyun.org.txt


3.批量扫描开放11211的端口的IP

#!/bin/bash
while read oneline  
do    
  nmap -sT -p 11211 ${oneline}/24 >> 11211.txt
done < ip.txt


扫描后的结果如下:

Interesting ports on 220.181.xx.xx:
PORT      STATE    SERVICE
11211/tcp filtered unknown


需要简单处理下,获取open标识的IP

cat 11211.txt |grep -v PORT|tr -t '\n' ','|sed 's/unknown/\n/g'|grep open


注意:脚本中扛n 被乌云转换成扛扛n了

漏洞证明:

筛选了一些结果如下:

宜搜 118.145.13.3 
http://moto.it168.com/ 
,,Interesting ports on 219.148.35.195:,11211/tcp open  
,,Interesting ports on 219.148.35.196:,11211/tcp open  
opera.com
,,Interesting ports on s-02-08.opera.com (195.189.143.156):,11211/tcp open  
,,Interesting ports on 195.189.143.157:,11211/tcp open  
,,Interesting ports on p21-10.opera.com (195.189.143.159):,11211/tcp open  
,,Interesting ports on h3.opera.com (195.189.143.164):,11211/tcp open  
,,Interesting ports on h4.opera.com (195.189.143.165):,11211/tcp open  
,,Interesting ports on h5.opera.com (195.189.143.166):,11211/tcp open  
,,Interesting ports on h6.opera.com (195.189.143.167):,11211/tcp open  
,,Interesting ports on h8.opera.com (195.189.143.169):,11211/tcp open  
,,Interesting ports on h9.opera.com (195.189.143.176):,11211/tcp open  
,,Interesting ports on p21-15.opera.com (195.189.143.186):,11211/tcp open  
,,Interesting ports on p21-16.opera.com (195.189.143.187):,11211/tcp open 
newsletter2.51cto.com  118.144.78.44


使用php程序连接:

it168.jpg

mx45.dns.com.cn.jpg

memcache.jpg

memcache.jpg

修复方案:

禁止外网访问缓存服务端口

版权声明:转载请注明来源 farmer@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-09-26 22:39

厂商回复:

CNVD确认并复现所述情况,对于所述案例评估构成部分信息泄露,但未对可用性\完整性构成影响.由于涉及案例较多,暂无法一一处置.不过对于这种批量获取检测的方式,在面向互联网目标的预警中有重要的意义.
rank 20

最新状态:

暂无

漏洞评价:

评论

  1. 2013-09-21 23:31 | 牛牛 ( 路人 | Rank:0 漏洞数:1 | 一个对网络安全充满激情的小白)

    这个可以看看

  2. 2013-09-21 23:58 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

    高端大气上档子啊

  3. 2013-09-21 23:59 | HuGtion ( 实习白帽子 | Rank:70 漏洞数:10 | 学习安全技术。)

    这么多夜猫子啊

  4. 2013-09-22 01:51 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    夜猫子呀夜猫子

  5. 2013-09-22 08:53 | ACGT ( 实习白帽子 | Rank:32 漏洞数:4 | another script kiddie)

    这东西找好网段一扫一大堆。。可是利用价值不大

  6. 2013-09-22 11:43 | Master ( 路人 | Rank:29 漏洞数:10 )

    11211 11212

  7. 2013-11-06 01:33 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    @ACGT get一下看看是否有敏感数据啊。有的把敏感数据放在memcached的。