当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0137786

漏洞标题:江苏有线苏州有线网络某漏洞导致内网漫游

相关厂商:江苏有线

漏洞作者: 纳米翡翠

提交时间:2015-08-29 11:18

修复时间:2015-10-13 21:54

公开时间:2015-10-13 21:54

漏洞类型:服务弱口令

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-29: 细节已通知厂商并且等待厂商处理中
2015-08-29: 厂商已经确认,细节仅向厂商公开
2015-09-08: 细节向核心白帽子及相关领域专家公开
2015-09-18: 细节向普通白帽子公开
2015-09-28: 细节向实习白帽子公开
2015-10-13: 细节向公众公开

简要描述:

耗时数周,经典回顾,精心打造,敬请期待》》》
一切都要从CM开始》》》
乌云君,不打雷、不下$$$合适吗?
恳请乌云,该漏洞如厂商未及时认领,请千万不要公开,影响太大

详细说明:

江苏有线苏州有线电视网络依托的是有线电视的cable线,通过docsis2.0协议传输网络,故事就从最接近用户的cable modem开始
之所有耗时数月,是因为对docsis的了解从零开始,自己不断摸索,走了非常多的弯路,要是有一个老师有多么的温馨。
1.了解身边的cable modem(想知道cable modem工作原理的,可以百度:cable modem工作原理)
现在家里用的cable modem是摩托的SB5101NE,网上找了一个配图,没错,一模一样:

QQ截图20150829085835.jpg


在看了无数文档之后得知,moto的cm(cable model的简称)有一个管理的IP地址:192.168.100.1,并得知默认情况下该cm开通了snmp,community为public
于是用mibbrowser查看该设备

QQ截图20150829090245.jpg


能查看到该cm获取到的ip地址,tftp的IP地址,dhcp服务器的ip地址还有该cm获取到的docsis配置文件

QQ截图20150829090834.jpg


从上图可以看到,我家里的有线带宽是10M,tftp拿到的配置文件是szcmsz10M_v2.0.bin,家里的网络多少M,全由这个配置文件说了算
szcmsz4M_v2.0.bin 对应的是4M的带宽
szcmsz8M_v2.0.bin 对应的是8M的带宽
szcmsz20M_v2.0.bin 对应的是20M的带宽
没错,换一个配置文件就可以免费提升带宽,但是最好不要这样做,因为那样做就违法了。
今天的重点并不是要介绍你怎么去免费提升你的带宽,而是由此拖出来的一系列有线带宽运维的问题。
2.从上面拿到的dhcp ip地址和tftp ip地址,可以大概猜测有线网络的服务应该是一个大的局域网范围,先用nmap对172.18.0.0/16这个段做个扫描,看能发现点什么

QQ截图20150829092643.jpg


通过扫描发现:
172.18.0.0段能访问的主机有823台,不排除里面有一些网络设备,不一定全是服务器

QQ截图20150829093257.jpg


开通22端口的149台

QQ截图20150829093525.jpg


开通80端口的21台

QQ截图20150829093642.jpg


开通8080的36台

QQ截图20150829094222.jpg


mssql 6台

QQ截图20150829094731.jpg


Mysql 11台

QQ截图20150829094842.jpg


疑似ESXI15台

QQ截图20150829094117.jpg


3.找到上面拿到的dhcp server的ip和 tftp的ip ,发现两个都是cisco的network registrar

QQ截图20150829092845.jpg


QQ截图20150829092904.jpg


4.构造弱口令:
通过真空密码字典生成器自定义字符串生成字典
5.使用生成的字典对上面的服务进行爆破

QQ截图20150829095801.jpg


QQ截图20150829100327.jpg


太幸运,密码如此简单

QQ截图20150829100116.jpg


6.通过测试发现,网络中有大量的register,还有一些旧版的,密码都相同

QQ截图20150829100727.jpg


QQ截图20150829100900.jpg


QQ截图20150829100915.jpg


QQ截图20150829101010.jpg


QQ截图20150829101438.jpg


QQ截图20150829101548.jpg


还有:
172.18.15.118
172.18.15.119
172.18.15.120
172.18.15.121
172.18.15.122
172.18.15.123
172.18.15.147
172.18.15.148
172.18.15.149
172.18.15.150
172.18.15.151
172.18.15.152
172.18.15.153
就不截图了
172.18.12.54是一个cacti的程序,且数据库存在弱口令,可直接getshell,可创建账号,可远程登录

QQ截图20150829102043.jpg


QQ截图20150828165032.jpg


【shell和账号已经删除】
172.18.12.90 ftp弱口令,大量内容可下载

QQ截图20150829102715.jpg


通过获取ftp的代码发现数据库连接字串,成功连接数据库,且可以进一步获取root权限

QQ截图20150829102856.jpg


172.18.14.195:8080 视频审核平台,用户名和密码写在代码里面,可直接登录

QQ截图20150829103331.jpg


QQ截图20150829103533.jpg


172.18.15.2 mysql root用户竟然没有密码

QQ截图20150829103716.jpg


http://172.18.15.2:6080 广电应用监控平台弱口令

QQ截图20150829103915.jpg


QQ截图20150829104021.jpg


好高大上

QQ截图20150829104203.jpg


172.18.15.22:8080/ jboss漏洞

QQ截图20150829104404.jpg


可上传shell 【shell已经删除】
通过查看22用户目录下面的文件发现一个可以登录shell的用户名和密码,尝试登录成功,于是尝试登录临近几个服务器,成功,存在问题的服务器如下,一共发现40台,可能还有其它:

QQ截图20150829104615.jpg


连接一两个证明一下

QQ截图20150829104825.jpg


QQ截图20150829104832.jpg


172.18.20.5 172.18.20.6 大唐AC弱口令

QQ截图20150829105105.jpg


172.18.20.8/main.asp 汉明AC弱口令,其中大量银行接入该AC

QQ截图20150829105322.jpg


QQ截图20150829105432.jpg


172.18.20.62:8080/imc/ 华三imc弱口令

QQ截图20150829105638.jpg


最后来个压轴的,Dell所有服务器remote control弱口令,可远程关闭重启服务器,随便搞一台,苏州整个有线网络都要受影响,因为上面跑的各种虚拟机,ip从67-82都可以访问:
172.18.21.67
172.18.21.68
172.18.21.69
172.18.21.70
172.18.21.71
172.18.21.72
。。。
172.18.21.82
拿67和82登录做下证明

QQ截图20150829110006.jpg


QQ截图20150829110054.jpg


QQ截图20150829110128.jpg

漏洞证明:

作为江苏有线的一名客户,希望有线越办越好,运维人员越来越重视安全

修复方案:

版权声明:转载请注明来源 纳米翡翠@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-08-29 21:53

厂商回复:

正常联系苏州分公司进行修复,感谢作者的发现,这对我们提升自身的安全意识起到了很好的促进作用.

最新状态:

暂无

漏洞评价:

评论

  1. 2015-08-29 11:20 | fuzz-ing ( 普通白帽子 | Rank:104 漏洞数:21 | 闭关半年)

    前排出售瓜子火腿肠矿泉水

  2. 2015-08-29 11:21 | king7 ( 普通白帽子 | Rank:556 漏洞数:105 | 长期1:7回收WB,手续费协商,个位数到三位数...)

    听这描述吓死我了,不就能播个小电影?

  3. 2015-08-29 11:25 | DloveJ ( 普通白帽子 | Rank:1107 漏洞数:200 | <a href=javascrip:alert('xss')>s</a> 点...)

    前排

  4. 2015-08-29 11:34 | 猫和老鼠 ( 路人 | Rank:4 漏洞数:3 | ...)

    合适吗

  5. 2015-08-29 11:37 | 末影人 ( 实习白帽子 | Rank:35 漏洞数:9 | 末影人(Enderman)是一个三个方格高的人形生...)

  6. 2015-08-29 11:37 | 江苏有线(乌云厂商)

    正在紧急联系相关部门

  7. 2015-08-29 11:37 | 猫和老鼠 ( 路人 | Rank:4 漏洞数:3 | ...)

    @江苏有线 真是积极

  8. 2015-08-29 11:39 | 小红猪 ( 普通白帽子 | Rank:198 漏洞数:32 | Wow~~~哈哈~~~)

    给厂商赞一个

  9. 2015-08-29 11:40 | scanf ( 核心白帽子 | Rank:1307 漏洞数:190 | 。)

    这个是日了什么

  10. 2015-08-29 11:44 | king7 ( 普通白帽子 | Rank:556 漏洞数:105 | 长期1:7回收WB,手续费协商,个位数到三位数...)

    @scanf 整个动物园啊

  11. 2015-08-29 11:48 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    @scanf 整个动物园啊

  12. 2015-08-29 12:23 | scanf ( 核心白帽子 | Rank:1307 漏洞数:190 | 。)

    233333 @king7 @小威

  13. 2015-08-29 12:30 | M4sk ( 普通白帽子 | Rank:1213 漏洞数:321 | 国内信息安全任重而道远,还需要厂商和白帽...)

    666666

  14. 2015-08-29 12:46 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    用江苏有线网络直播渗透江苏有线网络……

  15. 2015-08-29 12:50 | scanf ( 核心白帽子 | Rank:1307 漏洞数:190 | 。)

    没划分

  16. 2015-08-29 13:04 | jianFen ( 普通白帽子 | Rank:532 漏洞数:84 | 避其锋芒,剑走偏锋)

    - -是允许访问

  17. 2015-08-29 13:34 | 牛肉包子 ( 普通白帽子 | Rank:254 漏洞数:64 )

    @江苏有线 五天之类不确认 就自动公开了

  18. 2015-08-29 15:52 | sauren ( 实习白帽子 | Rank:34 漏洞数:11 | 天天打DOTA,快乐你我他~)

    期待,。。。

  19. 2015-08-29 16:03 | 徐夫子 ( 路人 | Rank:14 漏洞数:7 | 多乌云多机会!)

    奔着描述来的

  20. 2015-08-29 18:12 | 天明二号 ( 路人 | Rank:0 漏洞数:1 | 俺什么都不知道>_<)

    >_<

  21. 2015-08-29 18:32 | 红客十年 ( 普通白帽子 | Rank:336 漏洞数:64 | 去年离职富士康,回到家中上蓝翔,蓝翔毕业...)

    @scanf 整个动物园啊

  22. 2015-08-29 19:07 | scanf ( 核心白帽子 | Rank:1307 漏洞数:190 | 。)

    又不是我日的 洞主日的23333@红客十年

  23. 2015-08-29 20:08 | 猫和老鼠 ( 路人 | Rank:4 漏洞数:3 | ...)

    我好热啊

  24. 2015-08-29 21:12 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    估计我家电视都再里面

  25. 2015-08-29 23:13 | zeracker 认证白帽子 ( 普通白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    屌爆了。。。

  26. 2015-08-29 23:56 | 403 ( 普通白帽子 | Rank:126 漏洞数:11 | 菜鸟一名)

    好厉害的样子。

  27. 2015-08-30 20:55 | 一只猿 ( 普通白帽子 | Rank:483 漏洞数:90 | 硬件与无线通信研究方向)

    这,,厉害