当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-079283

漏洞标题:对康盛创想一服务商的测试过程

相关厂商:Discuz!

漏洞作者: if、so

提交时间:2014-10-14 09:44

修复时间:2014-11-28 09:46

公开时间:2014-11-28 09:46

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-10-14: 细节已通知厂商并且等待厂商处理中
2014-10-16: 厂商已经确认,细节仅向厂商公开
2014-10-26: 细节向核心白帽子及相关领域专家公开
2014-11-05: 细节向普通白帽子公开
2014-11-15: 细节向实习白帽子公开
2014-11-28: 细节向公众公开

简要描述:

对康盛创想的一次渗透,真是给力,好像走路掉坑里去了,起身发现竟然是掉钱坑里去了。那么问题来了,能给闪电?

详细说明:

闲来没事逛了逛discuz的主站,随便点了点点进了购买服务里面去了,

111111.png


发现了一个邮箱graygao@comsenz-service.com,作为对邮箱比狗还敏感的我顺手打了mail.comsenz-service.com,跳出来了腾讯企业邮箱的登陆口,看来康盛就是用的企鹅的企业邮箱,然后我又习惯性的把域名放到demon里面去了,尼玛,恶习啊,扫出来了一个二级域名pm.comsenz-service.com

22222.png


访问了一下,是个dz 3.1的论坛

33333.png


一看就是新搭建的,试了试弱口令,没有登陆成功。然后脑残的我又手贱的把网址放在了百度里面了。

44444.png


竟然跳出来了一个新站http://dz.pm.comsenz-service.com/,人品爆发,discuz 7.2的。顺手打了admin admin,成功登录!

777777.png


有了UC-KEY没shell你说个j8

14031259c95d2fcd8af33e705bd9b4bd3c05e13f.png


里面好多康盛的网站,还有其他网站,cntv,伙伴网,一开始以为是公用的虚拟主机,尤其是伙伴网,没想到隐藏的很深啊!至于为什么这么说,后面会提到。
拿到shell后,开始一顿乱翻,发现就是个虚拟主机啊,没什么好继续渗透的啊,执行了个命令,,才发现有猫腻。

[/data/wwwroot/dz.pm.comsenz-service.com/]$ /sbin/ifconfig
eth0      Link encap:Ethernet  HWaddr 90:2B:34:89:16:2B  
          inet addr:10.0.6.5  Bcast:10.0.6.255  Mask:255.255.255.0
          inet6 addr: fe80::922b:34ff:fe89:162b/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6530950 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5091834 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:928731025 (885.7 MiB)  TX bytes:3550915811 (3.3 GiB)
          Interrupt:26 Base address:0xe000 
lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:752783 errors:0 dropped:0 overruns:0 frame:0
          TX packets:752783 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:111963706 (106.7 MiB)  TX bytes:111963706 (106.7 MiB)


[/data/wwwroot/dz.pm.comsenz-service.com/]$ cat /etc/hosts
127.0.0.1	localhost.localdomain	localhost
::1	localhost6.localdomain6	localhost6
10.0.6.12  rtx.huoban.com
124.238.252.248	addon.discuz.net
127.0.0.1	pm.comsenz-service.com
127.0.0.1	panda.pm.comsenz-service.com
127.0.0.1	mantis.comsenz-service.com
121.101.221.52	www.tuanweihui.com
127.0.0.1	test.mybocog.cn
127.0.0.1	svn.pm.comsenz-service.com
127.0.0.1	cntvoverseas1.pm.comsenz-service.com


执行命令发现在内网,发现了10.0.***.*** 和康盛没什么关系的网站啊,那为什么处在一个内网,真是搞不懂。然后又是一顿乱翻,把上面的网站访问了遍,出现了转机。mantis.comsenz-service.com这个网站是个单点登陆口

qq.png


,可以注册,注册了个账号进去看了下,其他的网站,反正是很奇怪。

14032402dedbb1b364c821dda6a2b929db8b51d4.png


,看了看,还是没什么收获,停顿了准备交乌云的时候,我想到了数据库,果断找到了数据库账号去连了下,找到了mantis.comsenz-service.com的账号信息,

14032708b197bef64f8127d335e1a06e0d3e2d92.png


脸上数据库,找到了用户信息,

140328020a33325f2c2d12362c9f64073bdf6a24.png


发现里面有康盛的邮箱,然后破了md5去尝试登陆他的企业邮箱,
第一个就登陆成功了

m***@comsenz-service.com
M***


14033000856ba16f294b0f8d171d003787c9a046.png


于是把数据里的康盛邮箱全部收集起来,尝试登陆,又成功登陆了2个

g***@comsenz-service.com
x***
f***g@comsenz-service.com
b***


发现了大量与客户的敏感信息,在gabe的邮箱里面发现了某网的邮件,说gabe成为了服务器管理员,于是我直接重置了他的伙伴网密码登陆进去看了一下,好家伙,吓死人,

140336480cdc22a1e7420644f6d622dcf0d43ce1.png


14033657d647acca437b3c50ba2364411278869a.png


14033707207234649fbae66d146913cd5cbed6b5.png


14033715cb63f0f1c1b92f2abf881551572848ed.png


14033739617e9495271d770a2193c4022be850e3.png


1403374964da5a58163e04a9e62294882d665038.png


各种账号密码,敏感信息,看来康盛也提供技术外包啊。可是搞了半天不能进内网漫游还是不爽啊。别急,我后来在数据库里面翻的时候,发现了之前尝试成功的3个邮箱账号,竟然和3个某网后缀的邮箱的用户名一样,
我尝试把邮箱后缀换成***.com其他账号密码不变,登录某网的企业邮箱,发现都可以登陆进去!!

140343100ed3b950a7c4d101dec2b01b2c69e60c.png


其他2个邮箱也登陆成功,既然进来了,那就翻点好东西吧。
果然出现了我想要的东西

qq.png


哈哈,真是人品碉堡

1403453753c070e3ecea97e17502796b9458c929.png


搞了一夜,没想到好东西都在后面藏着!!那就到这里吧,不深入了,夜深了~

漏洞证明:

看上面吧,这个漏洞编辑够久了

修复方案:

。。

版权声明:转载请注明来源 if、so@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-10-16 09:13

厂商回复:

最新状态:

2014-10-16:感谢您对我们公司产品的关注。文中提到的站点和服务器并非是我公司的,他们只是我们的合作伙伴。我们会尽快将您发现的问题转达。

2014-10-16:鉴于文中涉及到其他一些站点的敏感信息,建议将部分截图遮盖。

漏洞评价:

评论

  1. 2014-10-14 09:44 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    今天是怎么了

  2. 2014-10-14 09:45 | if、so 认证白帽子 ( 核心白帽子 | Rank:1008 漏洞数:91 | 梦想还是要有的,万一实现了呢?)

    @浩天 没闪电你说个J8

  3. 2014-10-14 09:46 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    @if、so 稍等

  4. 2014-10-14 10:02 | 浮萍 ( 普通白帽子 | Rank:555 漏洞数:118 | 默默潜水)

    那么问题来了,哪家闪电闪的好

  5. 2014-10-14 10:04 | hacker@sina.cn ( 普通白帽子 | Rank:288 漏洞数:27 | ANONYMOUS)

    山东闪电找蓝翔!

  6. 2014-10-14 10:11 | 0x_Jin ( 普通白帽子 | Rank:319 漏洞数:37 | 微博:http://weibo.com/J1n9999)

    @if、so 那么问题来了,买滑板鞋 找哪家好?

  7. 2014-10-14 10:14 | if、so 认证白帽子 ( 核心白帽子 | Rank:1008 漏洞数:91 | 梦想还是要有的,万一实现了呢?)

    @0x_Jin .. 上次QQ问你的问题你还没告诉我了,55

  8. 2014-10-14 10:15 | 途牛旅游网(乌云厂商)

    大婶们,什么时候冲我来?洗好等你们哦![害羞]

  9. 2014-10-14 10:17 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    别急,马上就来 @途牛旅游网

  10. 2014-10-14 10:20 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    @if、so 干得漂亮~

  11. 2014-10-14 10:21 | 0x_Jin ( 普通白帽子 | Rank:319 漏洞数:37 | 微博:http://weibo.com/J1n9999)

    @途牛旅游网 骚货疯子无疑~

  12. 2014-10-14 10:21 | 0x_Jin ( 普通白帽子 | Rank:319 漏洞数:37 | 微博:http://weibo.com/J1n9999)

    @if、so 我看看 有时候消息多了没看

  13. 2014-10-14 10:27 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    避火...

  14. 2014-10-14 10:40 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  15. 2014-10-14 10:53 | ki11y0u ( 普通白帽子 | Rank:104 漏洞数:23 | 好好学习,求带飞~~~~~~~~~~~~~~~~~~~~~~...)

    mark

  16. 2014-10-14 10:57 | 乐乐、 ( 普通白帽子 | Rank:853 漏洞数:189 )

    牛牪犇逼

  17. 2014-10-14 13:09 | jas10nsec ( 路人 | Rank:14 漏洞数:4 | 学习网络与信息安全中)

    想学习学习

  18. 2014-10-14 13:16 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    这两天闪电有点多哦~~~

  19. 2014-10-14 13:19 | Martes ( 路人 | Rank:21 漏洞数:3 | 人若无名,便可专心练剑)

    碉堡 最近完整渗透很多啊,赞

  20. 2014-10-14 13:50 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    @途牛旅游网 疯子牛 您还记得我吗

  21. 2014-10-14 14:30 | 卡卡 ( 普通白帽子 | Rank:447 漏洞数:52 | <script>alert('安全团队长期招人')</scrip...)

    途牛这是在求日吗,@浩天 come on

  22. 2014-10-14 16:09 | char ( 路人 | Rank:13 漏洞数:3 | 中国平安,不只保险这么简单。)

    途牛真心好贱,哈哈哈

  23. 2014-10-14 16:51 | 一只猿 ( 普通白帽子 | Rank:463 漏洞数:89 | 硬件与无线通信研究方向)

    @途牛旅游网 那么问题来了

  24. 2014-10-14 16:59 | jas10nsec ( 路人 | Rank:14 漏洞数:4 | 学习网络与信息安全中)

    途牛求虐求爆菊呢

  25. 2014-10-14 18:44 | 雷锋 ( 路人 | Rank:12 漏洞数:2 | 承接:钻井,架工,木工,电工,水暖工,力...)

    @途牛旅游网 那么问题来了,中国嫖娼哪家强,广东东莞找你娘

  26. 2014-11-10 21:52 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    牛逼哦

  27. 2014-11-28 10:03 | Woodee ( 路人 | 还没有发布任何漏洞 | 乌云路人甲,打脸pa pa pa)

    NB

  28. 2014-11-28 11:23 | 写个七 ( 路人 | Rank:4 漏洞数:1 | 一点一点积累。)

    好屌的渗透 一个处站弱口令 KEY引发的血案! 楼主好计谋啊 渗透的好完全

  29. 2014-11-28 11:25 | 小饼仔 ( 普通白帽子 | Rank:363 漏洞数:48 | 不告诉你)

    @if、so demon哪里下的,能发一份吗?

  30. 2014-11-28 16:28 | Mixes ( 普通白帽子 | Rank:111 漏洞数:19 | :))

    同求一份demon可以么

  31. 2014-11-28 20:18 | 默之 ( 普通白帽子 | Rank:334 漏洞数:67 | 沉淀。)

    网上搜了一遍,没有找到demon v1.2,希望洞主可以给一份,谢谢

  32. 2014-11-29 15:05 | if、so 认证白帽子 ( 核心白帽子 | Rank:1008 漏洞数:91 | 梦想还是要有的,万一实现了呢?)

    @小饼仔 @Mixes @默之 http://pan.baidu.com/s/1D7VNC

  33. 2014-11-29 18:52 | 默之 ( 普通白帽子 | Rank:334 漏洞数:67 | 沉淀。)

    @if、so 谢谢你了