当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-050906

漏洞标题:一次失败的漫游百度内部网络过程

相关厂商:百度

漏洞作者: 3King

提交时间:2014-02-14 04:16

修复时间:2014-03-31 04:16

公开时间:2014-03-31 04:16

漏洞类型:应用配置错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-02-14: 细节已通知厂商并且等待厂商处理中
2014-02-14: 厂商已经确认,细节仅向厂商公开
2014-02-24: 细节向核心白帽子及相关领域专家公开
2014-03-06: 细节向普通白帽子公开
2014-03-16: 细节向实习白帽子公开
2014-03-31: 细节向公众公开

简要描述:

安全是一个整体,保证安全不在于强大的地方有多强大,而在于真正薄弱的地方在哪里。
本实例从一个不起眼的细节展开,发现致命漏洞后,为了检测百度内部是否有完善的监控报警机制,便尝试进行渗透挖掘,最终被系统规则检测到,暴漏了整个测试行为。
本次渗透的心得在于,无论对于厂商还是渗透人员来说,细节是多么重要。
欢迎百度选择忽略此漏洞,让基友们提前围观到细节。
(猪猪侠:你妹....)

详细说明:

#1 猜测及发现隐患
今晚在给手机上的应用升级时,闲着无聊打开了Wireshark进行抓包。就当升级完准备拔线时,窗口里突然蹦出了几个发向百度二三级域名的连接:loc.map.baidu.com、mobads.baidu.com、mobads-logs.baidu.com(原图已无法复现)

1.jpg


想起昨天和剑心聊(gao)天(ji)时谈到的一些企业高层对安全的态度,便下意识地ping了这三个域名一下。
前两个都解析到了cdn上,但是当ping到mobads-logs.baidu.com时,却发现并未到cdn,而是解析到了一个真实地址。

2.jpg


#2 IP段扫描及发现漏洞
于是利用扫描工具,对123.125.114段进行全面的扫描。
最终在123.125.114.213,发现开放了web服务,而且疑似是内部测试系统的对外。

3.jpg


首先是在模板下载链接处发现任意文件下载漏洞。

4.jpg


t1.jpg


6.jpg


随后又发现有一处上传点。

5.jpg


上传后虽然未返回上传地址,但通过查看源码之后发现了这个

7.jpg


从这里可以看出,文件传上去后是存储在了heat-map/upload里,而不是临时存储。
接着便猜测,是否上传效验了文件类型,并且上传后有没有改名。
做一个简单的验证:上传一个文件名为2.jsp的输出“Helloworld”jsp程序,然后尝试访问http://123.125.114.213/heat-maphttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/2.jsp,发现返回“Helloworld”,由此证明上传漏洞存在。

8.jpg


#3 内网基础信息的获取及触发报警
在进一步测试前,曾经考虑过百度很可能有较健全监控报警机制。为了测试是否存在,便上传了菜刀JSPShell进行渗透挖掘。通过目录和文件信息可以看到,此服务器有多名百度员工在使用,存在大量脚本和相关信息。

9.jpg


通过netstat可以看到,此服务器有往百度多个内网B段的连接,如果能够获得这台服务器的高权限,将极有可能进一步深入百度内网。

10.jpg


同时,从员工留下的脚本内发现了多处映射在根目录的FTP匿名和数据库信息。

11.JPG


对服务器进行遍历后,mongo发现,百度服务器上安装了waf软件。

12.jpg


13.jpg


sms_cmd="gsmsend -s 10.23.199.131:15008 -s 10.23.248.104:15008"


跟踪链接后,到达百度短信报警平台。

15.jpg


16.jpg


目的已经达到,百度服务器有健全的监控机制,便没有进一步检测。由于JSPShell返回的部分信息触发报警,没过多久,Shell被清除,服务器下线,渗透结束。
另外,同段中的123.125.114.240疑似出现注入漏洞,请注意。

14.jpg


申明:后部分的挖掘是和先与剑心沟通后,征得同意才进行的。如有欠妥之处,还望原谅。
另外,感谢mongo基友的协♂助♂测♂试~

漏洞证明:

修复方案:

·测试站点不要暴露在外网。
·任何情况下,都要注意外部信息不要被暴露。
·进一步加强网络安全,继续为上亿网络用户提供安全,优质的服务!

版权声明:转载请注明来源 3King@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-02-14 13:14

厂商回复:

感谢3King的友情检测,我们会继续提升能力,也请各位白帽子在安全测试中注意遵守国家相关法律。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-02-14 07:25 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    失败是成功她妈

  2. 2014-02-14 07:48 | 专业种田 认证白帽子 ( 核心白帽子 | Rank:1425 漏洞数:182 | 没有最专业的农民,只有更努力地耕耘..........)

    看标题以为猪猪侠

  3. 2014-02-14 08:13 | HackBraid 认证白帽子 ( 核心白帽子 | Rank:1545 漏洞数:260 | ...........................................)

    最后的那个括号亮了!^ ^

  4. 2014-02-14 08:38 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    我堵100WB百度不会忽略

  5. 2014-02-14 08:40 | HackBraid 认证白帽子 ( 核心白帽子 | Rank:1545 漏洞数:260 | ...........................................)

    @zzR ( 普通白帽子 | Rank:1074 漏洞数:95 | WooYun.0rg)你的后边这个wooyun.org手机能点开吗?我手机的UC可以点开进主页

  6. 2014-02-14 08:48 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    @HackBraid you win

  7. 2014-02-14 08:49 | HackBraid 认证白帽子 ( 核心白帽子 | Rank:1545 漏洞数:260 | ...........................................)

    @zzR ^ ^

  8. 2014-02-14 09:35 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  9. 2014-02-14 09:50 | hkAssassin ( 普通白帽子 | Rank:358 漏洞数:66 | 我是一只毛毛虫。)

    牛逼!

  10. 2014-02-14 11:12 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    括弧亮了。。

  11. 2014-02-14 11:41 | 淡漠天空 认证白帽子 ( 实习白帽子 | Rank:1113 漏洞数:142 | M:出售GOV STATE NSA CIA NASA DHS Symant...)

    我就喜欢括号里的话 不错

  12. 2014-02-14 12:11 | char ( 路人 | Rank:13 漏洞数:3 | 中国平安,不只保险这么简单。)

    “为了检测百度内部是否有完善的监控报警机制”,是“根本停不下来”吧?哈哈

  13. 2014-02-14 12:34 | 3King ( 普通白帽子 | Rank:1129 漏洞数:92 | 【study at HNUST】非常感谢大家的关注~ 大...)

    @char 基友,别损...

  14. 2014-02-14 13:02 | d4rkwind ( 路人 | Rank:8 漏洞数:2 | 关注web 安全,产品安全)

    我跟剑心沟通后,剑心说百度是可以查水表的。

  15. 2014-02-14 13:24 | Huc-Unis ( 普通白帽子 | Rank:1055 漏洞数:292 | 诶,现在通用奖励越来越低了;离买保时捷卡...)

    为什么美国那么多黑客,中国的黑客都是垃圾,你懂得为什么...

  16. 2014-02-14 13:41 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    看标题以为猪猪侠,看厂商回复以为是腾讯。。。特别是那句“也请各位白帽子在安全测试中注意遵守国家相关法律”来,对比下! WooYun: 一次失败的漫游腾讯内部网络过程 #1

  17. 2014-02-14 13:54 | shawshank ( 路人 | Rank:30 漏洞数:3 | free you mind)

    我跟剑心沟通后,剑心说百度是可以查水表的。

  18. 2014-02-14 15:44 | 中国民间-孑海 ( 路人 | Rank:0 漏洞数:3 | 关注国家网络安全 维护中国网络)

    @ Huc-Unis 难道你这是长他是志气 灭自己国家威风 我也不知道这是为什么

  19. 2014-03-06 14:29 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    哈哈给力

  20. 2014-03-30 12:21 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    你妹。。。。。小哥叫Mango

  21. 2014-03-31 12:30 | stevenliu ( 路人 | Rank:9 漏洞数:2 | 从事信息网络完全)

    不错嘛 报百度菊花!!!

  22. 2014-03-31 12:31 | 我了个去 ( 普通白帽子 | Rank:139 漏洞数:14 | 4892057@qq.com ...)

    我们会继续提升能力,也请各位白帽子在安全测试中注意遵守国家相关法律。意思就是请你们老老实实的,不要越界

  23. 2014-04-02 14:45 | Edward_Phoenix ( 路人 | Rank:2 漏洞数:1 | 修电脑的)

    整个过程真是惊喜不断!