当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0116849

漏洞标题:从一个弱口令到漫游网易内网(某站Shell涉及大量内部系统、内部服务器权限、企业架构等敏感信息)

相关厂商:网易

漏洞作者: fuckadmin

提交时间:2015-05-29 09:22

修复时间:2015-07-16 11:34

公开时间:2015-07-16 11:34

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-29: 细节已通知厂商并且等待厂商处理中
2015-06-01: 厂商已经确认,细节仅向厂商公开
2015-06-11: 细节向核心白帽子及相关领域专家公开
2015-06-21: 细节向普通白帽子公开
2015-07-01: 细节向实习白帽子公开
2015-07-16: 细节向公众公开

简要描述:

求来一个雷!

详细说明:

一、开始入口
站点:http://115.236.124.4/

1.jpg


账号:admin
密码:123456
一开始以为只是某个普通站点,但没想到居然是网易的。
上图证明

2.jpg


2.逐步深入(一)远程控制内部交换机
发现该站点是一个网络设备管理系统:
有个十分奇葩的功能,远程登录到交换机

4.jpg


好家伙但没有密码怎么办?

5.jpg


咦,怎么有密码呀,想了想,抓包看看。

3.jpg


哎呀,密码出来了:sahz163,一个普通密码和enable密码都出来了。

6.jpg


就不逐一去登录测试了,密码都是通用的。
没有shell说个JB!
3.逐步深入(二)进一步getshell

7.jpg


研究了下这套系统,发现存在多处struts2漏洞。
getshell:

8.jpg


还是在内网哟

9.jpg


10.jpg


本想到这就提交了,但不忍心就这样结束,说干就干!
4.逐步深入(三)拿到内部人员邮箱

11.jpg


居然有网易内部邮箱,老办法,抓包。
账号:*****jun@corp.netease.com
密码:******01
5.接入来,就是美妙的漫游了

12.jpg


内部zentrack系统:

13.jpg


内部bbs:

14.jpg


邮件事业部IT平台:

15.jpg


找到了丁大叔的邮箱

16.jpg


邮箱内好多内部敏感信息,大量的内部服务器、系统、数据库信息,就不贴出来了。

IP 地址:
10.160.124.234-236   
SSH 端口:18822
ROOT密码:qwer 1234
用户:coremail 
IP:10.120.13.200
Port:18822
key:wanghq houjie
Password:qwer 1234
ip:10.120.83.156/163
port:18822
key:zzx
password:qwer 1234


内部ssh端口均为18822
password:qwer1234
不过系统采用的是SSH密钥登录方式,就算拿到了SSH密码,也是没有作用的。

漏洞证明:

一、开始入口
站点:http://115.236.124.4/

1.jpg


账号:admin
密码:123456
一开始以为只是某个普通站点,但没想到居然是网易的。
上图证明

2.jpg


2.逐步深入(一)远程控制内部交换机
发现该站点是一个网络设备管理系统:
有个十分奇葩的功能,远程登录到交换机

4.jpg


好家伙但没有密码怎么办?

5.jpg


咦,怎么有密码呀,想了想,抓包看看。

3.jpg


哎呀,密码出来了:sahz163,一个普通密码和enable密码都出来了。

6.jpg


就不逐一去登录测试了,密码都是通用的。
没有shell说个JB!
3.逐步深入(二)进一步getshell

7.jpg


研究了下这套系统,发现存在多处struts2漏洞。
getshell:

8.jpg


还是在内网哟

9.jpg


10.jpg


本想到这就提交了,但不忍心就这样结束,说干就干!
4.逐步深入(三)拿到内部人员邮箱

11.jpg


居然有网易内部邮箱,老办法,抓包。
账号:*****jun@corp.netease.com
密码:******01
5.接入来,就是美妙的漫游了

12.jpg


内部zentrack系统:

13.jpg


内部bbs:

14.jpg


邮件事业部IT平台:

15.jpg


找到了丁大叔的邮箱

16.jpg


邮箱内好多内部敏感信息,大量的内部服务器、系统、数据库信息,就不贴出来了。

IP 地址:
10.160.124.234-236   
SSH 端口:18822
ROOT密码:qwer 1234
用户:coremail 
IP:10.120.13.200
Port:18822
key:wanghq houjie
Password:qwer 1234
ip:10.120.83.156/163
port:18822
key:zzx
password:qwer 1234


内部ssh端口均为18822
password:qwer1234
不过系统采用的是SSH密钥登录方式,就算拿到了SSH密码,也是没有作用的。

修复方案:

安全是个整体!

版权声明:转载请注明来源 fuckadmin@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2015-06-01 11:32

厂商回复:

漏洞已修复,感谢您对网易的关注!

最新状态:

暂无

漏洞评价:

评论

  1. 2015-05-29 09:23 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    雷稍等

  2. 2015-05-29 09:25 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    @浩天 看来有雷啊,我先关注了,哈哈

  3. 2015-05-29 09:26 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    @浩天 贱人 为啥我老是没~

  4. 2015-05-29 09:29 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    @爱上平顶山 你好好打包提交就有了,等你看到这个漏洞细节就知道这个雷不是白打的

  5. 2015-05-29 09:35 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    @浩天 嘻嘻

  6. 2015-05-29 09:49 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    原来前些天网易是你!

  7. 2015-05-29 09:50 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    关注

  8. 2015-05-29 09:52 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    这个果然不是白打的

  9. 2015-05-29 09:53 | 杀器王子 认证白帽子 ( 普通白帽子 | Rank:1532 漏洞数:121 | 磨刀霍霍向猪羊)

    放开这个漏洞,让我来

  10. 2015-05-29 09:53 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    @px1624 支付宝和携程是不是你干的

  11. 2015-05-29 09:57 | Wulala ( 普通白帽子 | Rank:223 漏洞数:24 | ^..^ ^..^ ^↓^ ^..^ ^..^)

    又要下雨了

  12. 2015-05-29 10:09 | 王松_Striker ( 路人 | Rank:18 漏洞数:5 | 热衷于XSS,但毛都不会。安全盒子(www.se...)

    @爱上平顶山 想知道带雷的表示什么意思...

  13. 2015-05-29 10:12 | Taro ( 普通白帽子 | Rank:178 漏洞数:48 | 走向最远的方向,哪怕前路迷茫;抱着最大的...)

    前端网易是不是你干的

  14. 2015-05-29 10:20 | 炊烟 ( 普通白帽子 | Rank:238 漏洞数:44 | 每一天都需要努力。)

    可以的

  15. 2015-05-29 10:26 | 牛肉包子 ( 普通白帽子 | Rank:254 漏洞数:64 )

    @王松_Striker 带雷 就是精华漏洞 奖励翻倍

  16. 2015-05-29 10:46 | aygj1412 ( 路人 | 还没有发布任何漏洞 | 只有神知道的世界)

    今天不会网易又中招吧?

  17. 2015-05-29 10:47 | 刘海哥 ( 普通白帽子 | Rank:114 漏洞数:28 | 索要联系方式但不送礼物的厂商定义为无良厂...)

    这个果然不是白打的

  18. 2015-05-29 10:58 | bey0nd ( 普通白帽子 | Rank:895 漏洞数:142 | 相忘于江湖,不如相濡以沫)

    地雷

  19. 2015-05-29 11:06 | DloveJ ( 普通白帽子 | Rank:1107 漏洞数:200 | <a href=javascrip:alert('xss')>s</a> 点...)

    好一个惊天地泣鬼神的雷!

  20. 2015-05-29 11:14 | milan ( 普通白帽子 | Rank:129 漏洞数:32 | 妈妈说:搬不完砖就别回家。)

    啥时候能看到

  21. 2015-05-29 11:31 | f4ck ( 实习白帽子 | Rank:42 漏洞数:7 | 有些人很牛B,一个漏洞能刷成N个。)

    叼,好期待公开。

  22. 2015-05-29 11:32 | 王松_Striker ( 路人 | Rank:18 漏洞数:5 | 热衷于XSS,但毛都不会。安全盒子(www.se...)

    @牛肉包子 明白啦,谢谢~~

  23. 2015-05-29 11:54 | ( 路人 | Rank:17 漏洞数:4 | -->‮)

    mark

  24. 2015-05-29 11:57 | 管管侠 ( 核心白帽子 | Rank:1368 漏洞数:108 | 休息几日,让你们先装会!!!)

    这个漏洞如果是平顶山发现的,我才至少会分5次提交

  25. 2015-05-29 12:05 | 追寻 ( 实习白帽子 | Rank:86 漏洞数:18 | 闭关修炼)

    @‮ 咋还有个空格的

  26. 2015-05-29 12:06 | 追寻 ( 实习白帽子 | Rank:86 漏洞数:18 | 闭关修炼)

    @‮ 空格...................

  27. 2015-05-29 13:16 | 胡小树 ( 实习白帽子 | Rank:60 漏洞数:11 | 我是一颗小小树)

    @管管侠 平顶山,刷分小王子,必须的

  28. 2015-05-29 14:41 | 卡卡 ( 普通白帽子 | Rank:447 漏洞数:52 | <script>alert('安全团队长期招人')</scrip...)

    你一定是蓝翔毕业的

  29. 2015-05-29 14:43 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    @管管侠 瞎扯淡 不是一回事

  30. 2015-05-29 14:45 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    @胡小树 不爽的话 你也连载 我坐看

  31. 2015-05-29 14:47 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    @胡小树 @管管侠 眼是不是都装裤裆里了? WooYun: 美囤妈妈的一次完整Web渗透测试(内网全漫游) WooYun: 宝宝树的一次完整Web渗透测试(内网全漫游)

  32. 2015-05-29 15:03 | 胡小树 ( 实习白帽子 | Rank:60 漏洞数:11 | 我是一颗小小树)

    @爱上平顶山 。。开个玩笑,大牛认真了。。

  33. 2015-05-29 15:06 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    @胡小树 我太实在了。。。

  34. 2015-05-29 15:10 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    @爱上平顶山 没人搭理你,你怎么说了这么多话

  35. 2015-05-29 16:11 | 这只猪 ( 路人 | Rank:5 漏洞数:2 | 南无阿弥陀佛!)

    网易瘫网易瘫,网易瘫完支付宝瘫,支付宝瘫支付宝瘫,支付宝瘫完携程瘫,携程瘫携程瘫,携程瘫完谁来瘫?

  36. 2015-05-29 16:25 | Yang ( 普通白帽子 | Rank:247 漏洞数:86 | 作为菜鸟,大米手机摔破了怎么办?)

    @这只猪 好顺口

  37. 2015-05-29 18:26 | 啊L川 ( 普通白帽子 | Rank:195 漏洞数:39 | 菜鸟 ,菜渣, 菜呀!)

    卧槽 打雷了

  38. 2015-05-29 18:30 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    @啊L川 你反应真慢

  39. 2015-05-29 19:19 | 牛 小 帅 ( 普通白帽子 | Rank:363 漏洞数:84 | [code]心若没有栖息的地方,走到哪里都是在...)

    我是新人 求混脸熟啊

  40. 2015-05-29 19:19 | 牛 小 帅 ( 普通白帽子 | Rank:363 漏洞数:84 | [code]心若没有栖息的地方,走到哪里都是在...)

    好多人

  41. 2015-05-29 19:19 | 牛 小 帅 ( 普通白帽子 | Rank:363 漏洞数:84 | [code]心若没有栖息的地方,走到哪里都是在...)

    @浩天 帮我审核漏洞 嘻嘻 我小学生

  42. 2015-05-29 21:58 | hope ( 路人 | Rank:1 漏洞数:2 | 一个小菜)

    6666

  43. 2015-05-29 22:42 | Q1NG ( 实习白帽子 | Rank:93 漏洞数:16 | 临 兵 斗 者 皆 阵 列 前 行 !)

    ...........

  44. 2015-05-31 10:17 | fuckadmin ( 普通白帽子 | Rank:476 漏洞数:72 | 千里之堤溃于蚁穴)

    @浩天 感谢浩天哥,人生第一次打雷。

  45. 2015-05-31 10:18 | fuckadmin ( 普通白帽子 | Rank:476 漏洞数:72 | 千里之堤溃于蚁穴)

    @杀器王子 有大杀器的人,好期待来次网易大漫游。

  46. 2015-05-31 10:19 | fuckadmin ( 普通白帽子 | Rank:476 漏洞数:72 | 千里之堤溃于蚁穴)

    @子非海绵宝宝 多谢关注,待公开了,应该不会让你失望。

  47. 2015-05-31 10:22 | fuckadmin ( 普通白帽子 | Rank:476 漏洞数:72 | 千里之堤溃于蚁穴)

    @爱上平顶山 偶像平顶山,这次漫游的思路都是在乌云学习的,求大牛关注。

  48. 2015-05-31 10:33 | DloveJ ( 普通白帽子 | Rank:1107 漏洞数:200 | <a href=javascrip:alert('xss')>s</a> 点...)

    @浩天 帮我审核下洞。突然不审核了

  49. 2015-06-01 11:40 | term ( 实习白帽子 | Rank:72 漏洞数:21 )

    @牛肉包子 这个洞有多少钱?

  50. 2015-07-16 11:49 | dlevr ( 实习白帽子 | Rank:33 漏洞数:10 | 菜鸟一只,大神勿喷!)

    我是送快递的,快开门!

  51. 2015-07-16 11:52 | 牛 小 帅 ( 普通白帽子 | Rank:363 漏洞数:84 | [code]心若没有栖息的地方,走到哪里都是在...)

    @dlevr 你说是吃啥饭的,脑门被夹啦,我住隔壁,你说送你送个快递 门都搞错 你知道你这样害的我3天不好意思和隔壁妹子打招呼吗

  52. 2015-07-16 14:28 | 染血の雪 ( 普通白帽子 | Rank:117 漏洞数:16 | 击缻)

    卧槽,这都行

  53. 2015-07-16 14:34 | 技术值班RootKit ( 路人 | Rank:4 漏洞数:1 | 目标成为一名优秀的白帽子!)

    好厉害啊