当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-061329

漏洞标题:乐视渗透纪实第一季最终章.核爆 (如何拿下乐视全网大部分机器)

相关厂商:乐视网

漏洞作者: 3King

提交时间:2014-05-18 19:49

修复时间:2014-07-02 19:49

公开时间:2014-07-02 19:49

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-05-18: 细节已通知厂商并且等待厂商处理中
2014-05-18: 厂商已经确认,细节仅向厂商公开
2014-05-28: 细节向核心白帽子及相关领域专家公开
2014-06-07: 细节向普通白帽子公开
2014-06-17: 细节向实习白帽子公开
2014-07-02: 细节向公众公开

简要描述:

乐视渗透纪实第一季在各位基友的围观下顺利完结啦 ε=ε=(ノ≧∇≦)ノ (撒花~)
非常感谢各位的支持~
其实本人的东西技术含量都不高,最主要的目的是提醒各位,安全无小事,别看技术含量低,但致命的依然致命,不致命的也可以变得致命~ 我用双手 成就你的梦想~(盲僧:你跑错片场了喂!)
第二季不知道什么时候开始,也有可能不会开始了吧 (我才不会说其实还有一个渗透报告呢~
无论如何~ 我们一起加油~~ 让那些不重视安全的厂商 瞬! 间! 爆! 炸!
----------------------------------------------------------------------
本专题发布到乌云的目的第一是为了交流基本思路(本人也是菜鸟 ╮(╯▽╰)╭),第二是获取rank以作为回报,第三是就大企业整体的安全防御进行讨论。不足之处,还望指正。
※ 本次渗透是基于乐视官方授权许可的基础上进行的,这些漏洞在上报乌云前均已得到了修复。(再次声明:这些漏洞在上报乌云前均已得到了修复。)建议各位做持续或内部渗透前,先和官方联系,取得相应许可,以免出现不必要的误会和麻烦。
※ 本报告中部分信息涉及的隐私部分,将做屏蔽或替换处理。
※ 应厂商意向,本专题希望各位基友仅在乌云讨论,不要外发,谢谢!

详细说明:

让我们回到第八章...
第八章我们提到,那个FTP匿名机器除了泄露了乐视办公网信息外,还包括了一些服务器信息。
于是我们尝试登录其中一个“作业系统”的机器,登录成功。
此机器的IP地址是10.B6.C5.21,通过netstat命令发现,有来自10.B9.C1段的连接,估计是员工机。
可能是做了隔离的效果,在外网机上进行乐视内网扫描时这个段是没有响应的,而此机器上有来自这个段的链接,如果在这里扫描的话,应该会有收获。
这里先用端口扫描器对10.B9段进行端口扫描,发现在各个C段都有机器响应,并且数量不小。
于是我们直接启用终端弱口令扫描工具,利用前期渗透积累到的密码资料作为字典进行扫描。
几十分钟后,扫描完成,共发现十几台弱口令机器。、

10.B9.C1.50 123456
10.B9.C1.215 letv123456
10.B9.C21.10 letv000
10.B9.C105.214 000000
...


由于当时测试是在晚上,所以不会影响乐视员工的正常工作,便尝试登录操作。

1.jpg


2.jpg


3.jpg


4.jpg


5.jpg


其中在某个弱口令PC中,发现了一个XShell登录脚本,登录的用户名是zabbix。。
等会!! 用户名zabbix。。 怎么这么熟悉呢?
这时候突然想起,前期在拿下乐视linux服务器时,总会有两个用户,一个zabbix,一个le**。
那么这里的zabbix。。。 可不可能是通用的呢??
按照自动化安装的原则,如果是默认留的用户,密码应该是相同的!
但是,这个XShell的脚本密码是加密的啊...
难道还要研究加密算法么...
正当一筹莫展之际,突然蹦出个猥琐的想法:我们可不可以用星号密码查看器去看原文密码呢??
说时迟那时快,嗖嗖嗖就下好了一个工具,一探

6.jpg


我勒个去~ 还真探到原文密码了~
接下来用这个密码尝试登录乐视其它linux服务器,结果登录成功。这样一来,就可以登录到乐视大部分Linux服务器了。虽然不是root权限,但是也可以获取到大量信息。如果发现管理员配置失误,还可以进行提权操作。
比如像乐视这台服务器,存在权限控制不严问题,Web目录可写,写入shell后,就到前台可以以root权限执行任意命令。

7.jpg


已经能登录乐视全网大部分机器了,再往下渗透意义不大,所以紧急通报了这个问题后,渗透乐视的进程便全部结束了。

漏洞证明:

1.jpg


2.jpg


3.jpg


4.jpg


5.jpg


6.jpg


7.jpg

修复方案:

·本次渗透,主要发现的问题还是员工安全意识不足。弱口令,空口令现象很严重。
·不要以为在内网就安全了。内网,不是你们放松安全偷懒的借口!
·像全网机器调试,用这种方法很危险,可以尝试用其它运维产品来代替。

版权声明:转载请注明来源 3King@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-05-18 20:00

厂商回复:

感谢挖掘,马上处理!

最新状态:

暂无

漏洞评价:

评论

  1. 2014-05-18 19:53 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    危害等级:高漏洞Rank:20

  2. 2014-05-18 20:29 | Lee Swagger ( 路人 | Rank:28 漏洞数:5 | 洗洗睡吧)

    @U神 触到你的G点了哈

  3. 2014-05-18 21:01 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  4. 2014-05-18 21:25 | 孤独雪狼 ( 普通白帽子 | Rank:710 漏洞数:145 | 七夕手机被偷,这坑爹的七夕啊 。。。。)

    不太想搞乐视 乐视太小气了 。。。。

  5. 2014-05-18 22:00 | 卡卡 ( 普通白帽子 | Rank:447 漏洞数:52 | <script>alert('安全团队长期招人')</scrip...)

    不明真相的群众路过~~~

  6. 2014-05-19 00:31 | 兔兔侠 ( 路人 | Rank:2 漏洞数:1 )

    偶像啊20

  7. 2014-05-19 14:09 | 7z1 ( 实习白帽子 | Rank:94 漏洞数:14 | 黑客:探险家、网络中的幽灵、用技术捍卫正...)

    看了洞主的漏洞列表,我在想乐视肿么不干脆把你招去算了 = =||

  8. 2014-06-18 10:14 | 小杰哥 ( 普通白帽子 | Rank:155 漏洞数:25 | 逆水行舟,不进则退。)

    大牛,求认识。求好友。

  9. 2014-07-02 19:56 | f4ckbaidu ( 普通白帽子 | Rank:182 漏洞数:23 | 开发真是日了狗了)

    @乐视网 还在外面招人干嘛,,你把楼主收了吧

  10. 2014-07-02 20:26 | 伟哥 ( 普通白帽子 | Rank:110 漏洞数:29 | 不怕流氓有文化,就怕色狼有耐心,那么一只起...)

    算是经典的APT攻击吗

  11. 2014-07-03 10:13 | stomach ( 路人 | Rank:17 漏洞数:2 | 个人爱好!!纯的。。。。。)

    在内网大量扫描端口和弱口令很忌讳的,随便一个安全设备都会报警

  12. 2014-07-03 10:27 | zhxs ( 实习白帽子 | Rank:32 漏洞数:19 | Jyhack-TeaM:http://bbs.jyhack.com/)

    叼、、、

  13. 2014-07-03 10:53 | 孤月寒城 ( 路人 | Rank:0 漏洞数:1 )

    略屌