当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-081648

漏洞标题:汽车之家外网shell*2\内网漫游\盛拓传媒旗下四站cdn劫持

相关厂商:汽车之家

漏洞作者: s0mun5

提交时间:2014-11-01 16:43

修复时间:2014-12-16 16:44

公开时间:2014-12-16 16:44

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-11-01: 细节已通知厂商并且等待厂商处理中
2014-11-01: 厂商已经确认,细节仅向厂商公开
2014-11-11: 细节向核心白帽子及相关领域专家公开
2014-11-21: 细节向普通白帽子公开
2014-12-01: 细节向实习白帽子公开
2014-12-16: 细节向公众公开

简要描述:

汽车之家外网shell*2\内网漫游\盛拓传媒旗下四站cdn劫持

详细说明:

http://bugreport.autohome.com.cn/
这个域名存在sql注入,root权限的盲注。

Snip20141101_4.png


发现有nagiosql库,根据经验判断,果然有nagios服务。
http://bugreport.autohome.com.cn/nagios/
http://bugreport.autohome.com.cn/nagiosql/
此版本的nagiosql存在SQL注入。

Snip20141101_5.png


万能密码进入后台。
配置文件中找到前台nagios的401认证的用户名

Snip20141101_6.png


wangqiushuang弱口令 123456登陆成功前台。
通过某方式,getshell。

Snip20141101_7.png


查看数据库配置连接数据库,找到部分员工用户名。

Snip20141101_8.png


成功解出zhangyuan的密码。
ewcache55667*()

漏洞证明:

0x00
登陆邮箱。http://mail.autohome.com.cn/
看到一封chinacache重置密码的邮件

Snip20141101_9.png


重置密码成功登陆chinacache,可以更改autohome it168 pcpop che168 四个站的cdn配置

Snip20141101_10.png


更改后的密码

pcpop-all
1idY%Q+18f


0x01
https://ssl.vpn.corpautohome.com/dana-na/auth/url_default/welcome.cgi vpn登陆
zhangyuan账号登陆成功。

Snip20141101_11.png


Snip20141101_12.png


内网的脆弱性都知道,不深入。
送一个内网注入。

Snip20141101_14.png


0x02
http://devops.intra.corpautohome.com/ 内部运维管理系统对外。
zhangyuan登陆成功。
系统内到处都是sql注入。

Snip20141101_15.png


注入出管理员权限账号登陆。
yanghongyan yangyan
数据库为root权限,可以load_file,猜到web目录/opt/cdnweb/
成功写入shell。

Snip20141101_16.png


这个后台功能强大。

Snip20141101_17.png


完毕。

修复方案:

内部系统不对外。做外注入和数据库权限的防护。

版权声明:转载请注明来源 s0mun5@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2014-11-01 17:02

厂商回复:

正在处理,感谢对汽车之家的支持

最新状态:

暂无


漏洞评价:

评论

  1. 2014-11-01 16:46 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 | 总有一天,我会骑着雨牛@'雨。踩着一哥@jan...)

    现在只要是游内网就加精?

  2. 2014-11-01 16:48 | backtrack丶yao ( 普通白帽子 | Rank:290 漏洞数:107 | "><img src=x onerror=alert(666666);> <im...)

    记者拍这里

  3. 2014-11-01 16:50 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    我是来看洞主的:P

  4. 2014-11-01 16:51 | 白非白 ( 普通白帽子 | Rank:447 漏洞数:60 | ♫ Freedom - Anthony Hamilton ♫)

    前排~~

  5. 2014-11-01 17:01 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    这个必须顶!

  6. 2014-11-01 17:29 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 | 总有一天,我会骑着雨牛@'雨。踩着一哥@jan...)

    @子非海绵宝宝 你就没给我顶过、鄙视你

  7. 2014-11-01 17:29 | ppt ( 路人 | Rank:11 漏洞数:2 | ) | ( 我猜出了用户名,可我没猜出密码。)

    看看怎么劫持

  8. 2014-11-01 17:30 | Vinc ( 普通白帽子 | Rank:120 漏洞数:22 | :))

    留名

  9. 2014-11-01 17:32 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    @老和尚 下次顶!

  10. 2014-11-01 17:34 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 | 总有一天,我会骑着雨牛@'雨。踩着一哥@jan...)

    @子非海绵宝宝 不嘛、就不、9999求顶

  11. 2014-11-01 17:51 | 雷锋 ( 路人 | Rank:12 漏洞数:2 | 承接:钻井,架工,木工,电工,水暖工,力...)

    顶!!!!!

  12. 2014-11-02 08:05 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    汽车之家,媳妇当车模。

  13. 2014-11-11 21:21 | if、so 认证白帽子 ( 核心白帽子 | Rank:1008 漏洞数:91 | 梦想还是要有的,万一实现了呢?)

    给力

  14. 2014-11-11 21:57 | s0mun5 认证白帽子 ( 普通白帽子 | Rank:493 漏洞数:24 | .)

    @if、so 我也想要核心:(

  15. 2014-12-07 23:20 | _Thorns ( 普通白帽子 | Rank:882 漏洞数:157 | 收wb 1:5 无限量收 [平台担保]))

    思路太赞了。

  16. 2014-12-16 18:37 | 老胖子 ( 路人 | Rank:0 漏洞数:3 )

    厉害

  17. 2014-12-17 08:44 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    通过某方式,getshell