当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-076453

漏洞标题:小米内网漫游记(一个弱口令导致各种内部系统泄露)

相关厂商:小米科技

漏洞作者: 临时工

提交时间:2014-09-18 09:49

修复时间:2014-11-02 09:50

公开时间:2014-11-02 09:50

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-09-18: 细节已通知厂商并且等待厂商处理中
2014-09-18: 厂商已经确认,细节仅向厂商公开
2014-09-28: 细节向核心白帽子及相关领域专家公开
2014-10-08: 细节向普通白帽子公开
2014-10-18: 细节向实习白帽子公开
2014-11-02: 细节向公众公开

简要描述:

有时候安全就疏忽在几个点上,不是光靠管理就能搞定。
本次案例能够成功,就是因为各种条件达成,安全风险就暴露出来。
企业通病:突破边界(边界的安全应该达到网银安全的级别,呵呵)

详细说明:

1.突破vpn边界:vpn地址的获取起到了关键作用
突破之前要先知道vpn的地址,这个是机缘巧合,大概一年前检测某垃圾医院网段的时候,扫到小米的vpn地址,当时感觉也没啥用,但还是收藏起来了。(扫一下网段你就看到那个医院了)

011.jpg


2.最近看到很多git、大数据可以搞到很多大公司的员工邮箱密码,想想自己能否也搞一下,并没有太多收获,看到之前小米的一些案例可以知道,小米员工密码都是相对较强,大小写字母、数字、特殊字符等等,看似很安全,但是在强密码池中依然有常用的,通过各种方法(包括大数据支持)搜集小米公司的常用强密码,这里列举与一个:Xiaomi11,小米公司入职离职几千人,这个应该是入职时常用的初始密码,我猜可能还用过Xiaomi22、Xiaomi33...
这里面举个例子,账号:wanglisha 密码:Xiaomi11
登录邮箱试试:没有什么敏感的邮件

0.jpg


可以找回她的京东账号了,怎么用公司邮箱注册京东呢

0.1.jpg


0.2.jpg


可以看出,公司对密码要求还是很严格的,但只要是人参与,依然会有纰漏

0.3.jpg

漏洞证明:

3.两个条件达成,危害就显现出来了,不要以为只是个邮箱泄露那么简单,接下来是企业通病,单点登录,全线业务都ok
vpn地址有了,账号有了,开始内网漫游

1.jpg


内部员工交流平台:

2.jpg


继续深入,领个F码如何

1.2.jpg


内部员工信息泄露

3.jpg


4.jpg


内部办公平台:很多懒得搞了,就都只是看看

10.jpg


这个项目管理系统,没搞了,账号现成的、弱口令肯定很多,没搞

6.jpg


5.jpg


7.jpg


8.jpg


9.jpg


系统太多,没搞

11.jpg


12.jpg


小米内部论坛,这里面3564的用户,好大的公司吖

a.jpg


b.jpg


看到很多首字母是V,是外包的员工吧,这也是一个应该考虑的安全风险。

c.jpg


下面这个重点说下,打包的工具,是不是可以把改好的应用集成到电视里吖,这个危害挺大吖

k.jpg


l.jpg


http://10.237.32.105/ 这个是ZABBIX,还是个有sql注入的版本,呵呵
4.看了下子域名mioffice.cn,当然还有其他小米内部域名mitvos.com、mi1.cc等

d1.jpg


这里面有个share的域名,经验告诉我(在大型甲方公司),这个域名是可以局域网访问的
非http,于是...

d.jpg


e.jpg


g.jpg


h.jpg


最后以雷总一张笑脸结束检测,没有再继续了,只看了两三个网段的服务,如果继续应该会有更多有意思的东西,系统太多了,

j.jpg


友情检测,没有带走什么数据,切勿追责

修复方案:

你会发现问题总是出在人身上,其实不然,很多东西技术是可控的,如果vpn多一层手机验证、动态口令验证,哪有这么多事
还有,千万不要小看一个低权限账户的威力

版权声明:转载请注明来源 临时工@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-09-18 10:49

厂商回复:

我们会加强VPN系统,邮件系统的认证,以及内部员工的安全意识培训。
感谢对小米安全的关注!

最新状态:

暂无

漏洞评价:

评论

  1. 2014-09-18 09:53 | adm1n ( 普通白帽子 | Rank:216 漏洞数:66 | 只是一个渣渣而已。。。)

    mark

  2. 2014-09-18 09:53 | bey0nd ( 普通白帽子 | Rank:895 漏洞数:142 | 相忘于江湖,不如相濡以沫)

    sf

  3. 2014-09-18 09:56 | qiaoy ( 普通白帽子 | Rank:110 漏洞数:16 )

    .

  4. 2014-09-18 10:03 | 小包子 ( 普通白帽子 | Rank:100 漏洞数:19 | 关注技术与网络安全)

    @袋鼠妈妈 恭喜洞主

  5. 2014-09-18 10:04 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    @小包子 我晕,咋啦?

  6. 2014-09-18 10:07 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    mark

  7. 2014-09-18 10:10 | 小包子 ( 普通白帽子 | Rank:100 漏洞数:19 | 关注技术与网络安全)

    @袋鼠妈妈 (⊙o⊙)…不是雷劈了?好像看错了。又是弱口令

  8. 2014-09-18 10:11 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    强弱口令

  9. 2014-09-18 10:13 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    @小包子 (⊙o⊙) 这不是我的 求雷劈

  10. 2014-09-18 10:23 | winsyk ( 普通白帽子 | Rank:108 漏洞数:16 | 越长大越孤单)

    给力

  11. 2014-09-18 10:25 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    一定是个临时工

  12. 2014-09-18 10:26 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    这是哪位大神的马甲?

  13. 2014-09-18 10:27 | 大大灰狼 ( 普通白帽子 | Rank:248 漏洞数:53 | Newbie)

    别开除运维

  14. 2014-09-18 10:32 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    临时运维人员,已被开除!

  15. 2014-09-18 10:39 | 铁蛋火车侠 ( 普通白帽子 | Rank:156 漏洞数:31 | Q群371620085 技术交流群 有漂亮妹纸!)

    我去

  16. 2014-09-18 10:39 | 黑色的屌丝 ( 路人 | Rank:27 漏洞数:5 | →_→→_→)

    抢了半年都没抢到小米

  17. 2014-09-18 10:52 | 晓海’ ( 路人 | Rank:1 漏洞数:3 | 一个IT界的酱油帝,坚信分享,创造未来!)

    小米又被人干了。我这小心脏啊。受不了啊。米国想拿中国人数据。很方便的说啊。会不会小米被米国监控了?

  18. 2014-09-18 11:00 | 小杰哥 ( 普通白帽子 | Rank:155 漏洞数:25 | 逆水行舟,不进则退。)

    不分享裤子的洞主不是好洞主。

  19. 2014-09-18 11:04 | 临时工 ( 普通白帽子 | Rank:122 漏洞数:11 | 初来乍到)

    没有带走任何数据,就是简单转转

  20. 2014-09-18 11:12 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

    厂商委婉的告诉我们,被攻击思路大致为:收集邮箱信息,登陆邮箱,获取vpn地址、用户名、密码,登入各种系统XXX、不管你们信不信,反正我是信了

  21. 2014-09-18 11:15 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    @luwikes 有时候问题比你想象的还要简单

  22. 2014-09-18 11:26 | 芒果小白 ( 路人 | Rank:0 漏洞数:1 | 走在奔向芒果的路途上~)

    魅族笑了

  23. 2014-09-18 11:49 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @luwikes 我信了

  24. 2014-09-18 13:57 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

    @浩天 嗯,也有可能是先进VPN,再进邮箱获取各种系统XXX

  25. 2014-09-18 14:02 | 寒江不钓 ( 实习白帽子 | Rank:72 漏洞数:11 | 无他,但手熟耳 微博: http://...)

    早就搞到个小米员工邮箱密码,但邮箱登不上啊,支付宝钱倒是不少

  26. 2014-09-18 14:19 | loli 认证白帽子 ( 普通白帽子 | Rank:550 漏洞数:52 )

    弱口令害死人

  27. 2014-09-18 14:26 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    马克

  28. 2014-09-18 15:21 | 临时工 ( 普通白帽子 | Rank:122 漏洞数:11 | 初来乍到)

    传说会有礼物 @@

  29. 2014-09-18 16:08 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    哇,路过

  30. 2014-09-18 19:17 | Anonymous ( 普通白帽子 | Rank:146 漏洞数:30 | 园长是大傻逼)

    某内部员工已被开除

  31. 2014-09-18 19:35 | 雷锋 ( 路人 | Rank:12 漏洞数:2 | 承接:钻井,架工,木工,电工,水暖工,力...)

    果然是了临时工

  32. 2014-09-18 20:08 | zhxs ( 实习白帽子 | Rank:32 漏洞数:19 | Jyhack-TeaM:http://bbs.jyhack.com/)

    你这么牛逼,你爹妈知道么...

  33. 2014-09-18 20:48 | ki11y0u ( 普通白帽子 | Rank:104 漏洞数:23 | 好好学习,求带飞~~~~~~~~~~~~~~~~~~~~~~...)

    内部人员已经开出。mark

  34. 2014-09-18 22:20 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  35. 2014-09-19 13:28 | T-MAC ( 路人 | Rank:19 漏洞数:2 )

    运维人员已经被开除

  36. 2014-09-19 13:36 | 大大灰狼 ( 普通白帽子 | Rank:248 漏洞数:53 | Newbie)

    @临时工 密码是多少

  37. 2014-10-20 09:51 | print_0x0000 ( 实习白帽子 | Rank:88 漏洞数:22 | 一枚苦逼的农民工.)

    这个真不错....

  38. 2014-11-02 18:03 | 小卖部部长 ( 路人 | Rank:24 漏洞数:3 | 别拿部长不当干部!)

    洞主没领取一台小米4?

  39. 2015-01-21 23:42 | 猪猪侠 认证白帽子 ( 核心白帽子 | Rank:3224 漏洞数:254 | 你都有那么多超级棒棒糖了,还要自由干吗?)

    最后以雷总一张笑脸结束检测