当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0157605

漏洞标题:从弱口令到内网漫游(考拉FM)

相关厂商:kaolafm.com

漏洞作者: 土夫子

提交时间:2015-12-02 14:01

修复时间:2016-01-18 22:50

公开时间:2016-01-18 22:50

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:19

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-02: 细节已通知厂商并且等待厂商处理中
2015-12-04: 厂商已经确认,细节仅向厂商公开
2015-12-14: 细节向核心白帽子及相关领域专家公开
2015-12-24: 细节向普通白帽子公开
2016-01-03: 细节向实习白帽子公开
2016-01-18: 细节向公众公开

简要描述:

对于弱口令引发的内网漫游案例不在少数,只是感觉此次漫游来的更快了一些... 嗯,夫子干啥都快 →_→
考拉FM隶属于车语传媒集团,于2013年6月8日上线,目前已拥有超8000万用户。创始人兼CEO俞清木是媒体人出身,曾任搜狐汽车频道担任主编,2007年从搜狐离职后创办车语传媒。2010年车语传媒完成A轮融资,投资机构包含实力较强的贝塔斯曼、君联资本、DCM

详细说明:

一、编写密码字典,邮箱爆破
普通的通用型字典很多时候不能满足需求,需要针对于公司自定义字典,比如本次生成了包含kaola123、kaolafm123、kaola@123的特殊字典,成功爆破出一枚邮箱。登录后,发现了激动的一幕:
前几天给网易提的bug网易马上要修复了( WooYun: 网易企业邮箱某处存在重大安全漏洞(企业客户通杀测试蘑菇街/湖南卫视等) ),白帽子的付出得到了认可比啥都重要。网易的兄弟,话说礼物呢,礼物

001.jpg


CEO以及其他600多人的联系方式

QQ20151204-2@2x.png


二、监控系统、文件推送系统(这块隐患不小,能直接操控线上文件)、WIKI(大量项目文档说明)
又把密码写到邮件里...

QQ20151204-0@2x.png


004.jpg


005.jpg


QQ20151204-1@2x.png


三、OA系统
泛微的OA我记得有防爆破功能,只是你们没开启,爆出来一堆弱口令

006.jpg


http://oa.autoradio.cn/
用户名 密码

mask 区域 
***** abcd.*****
***** abcd.*****
***** abcd.*****
***** abcd.*****
***** abcd.*****
*****  abc*****
*****  abc*****
*****  abc*****
***** abcd*****
***** abcd*****
***** abcd*****
*****  abc*****
***** abcd*****
***** abcd*****
*****  abc*****
***** abcd*****
***** abcd*****
***** abcd*****
***** abcd*****
*****abcd.*****
*****abcd.*****
***** abcd*****
*****abcd.*****
***** abcd*****
***** abcd*****
*****abcd.*****
*****abcd.*****
*****abcd.*****
***** abcd*****
*****abcd.*****
*****abcd.*****
*****abcd.*****
*****abcd.*****
*****abcd.*****
*****abcd.*****
*****abcd.*****
*****abcd.*****
*****abcd.*****
***** abcd*****
***** abcd*****
***** abcd*****
*****abcd.*****
***** abcd*****
*****bcd.1*****
*****abcd.*****
*****abcd.*****
*****abcd.*****
*****abcd.*****
*****bcd.1*****
*****abcd.*****
*****abcd.*****
*****abcd.*****
*****abcd.*****
*****abcd.*****
*****bcd.1*****
*****bcd.1*****
*****bcd.1*****
*****abcd.*****
*****bcd.1*****
*****abcd.*****
*****abcd.*****
*****bcd.1*****
*****bcd.1*****
*****abcd.*****
*****bcd.1*****
*****bcd.1*****
*****bcd.1*****
*****bcd.1*****
*****bcd.1*****
*****bcd.1*****
*****bcd.1*****
*****bcd.1*****
*****bcd.1*****
*****bcd.1*****
*****bcd.1*****
*****bcd.1*****
*****bcd.1*****
*****bcd.1*****
*****bcd.1*****
*****bcd.1*****
*****bcd.1*****
*****abcd*****
*****abcd*****
*****bcd.1*****
*****abcd*****
*****bcd.1*****
*****abcd*****
*****abcd*****
*****abcd*****
*****abcd*****
*****abcd*****
*****  abcd*****
*****  abcd*****
*****  abc*****
*****  abc*****
*****  abc*****
*****  abc*****
*****  abc*****
*****  abc*****
*****  abc*****
***** abcd*****
***** abcd*****
***** abcd*****
***** abcd*****
*****abcd.*****
*****abcd.*****
*****abcd.*****
***** abcd*****
***** abcd*****
*****abcd.*****
*****kaola*****
*****abcd.*****
*****abcd.*****
*****bcd.1*****
*****bcd.1*****
*****abcd.*****
*****abcd.*****
*****abcd.*****
*****abcd.*****
*****abcd.*****
*****abcd.*****
*****abcd.*****
*****abcd.*****
*****abcd.*****
*****bcd.1*****
*****bcd.1*****
*****bcd.1*****
*****bcd.1*****
*****bcd.1*****
*****abcd*****
*****abcd*****
*****abcd*****
*****abcd*****
*****abcd*****
*****abcd*****
*****abcd*****


四、VPN,入内网
VPN密码、安装程序又在邮件里看到....幸福来的太突然。

007.jpg


五、内网探视
故事到这里其实才属于刚刚开始。
虽然进了内网,但是不知道除了VPN以外的IP地址。于是...我想起了上面zabbix监控的主机IP,拿起namp一顿扫,发现4个网断,每个网断都有大量存活主机,保守估计有800个主机。
绑定host,又发现大量后台

008.jpg


先这样吧,点到为止

漏洞证明:

如上

修复方案:

问题基本详情处都列出来了

版权声明:转载请注明来源 土夫子@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-12-04 22:49

厂商回复:

非常感谢,正在整改~

最新状态:

暂无

漏洞评价:

评价

  1. 2015-12-03 07:57 | 卡卡 ( 普通白帽子 | Rank:463 漏洞数:56 | <script>alert('安全团队长期招人')</scrip...)

    前排关注 :-)

  2. 2015-12-03 09:12 | 土夫子 ( 普通白帽子 | Rank:399 漏洞数:75 | 看似山穷水尽,终将柳喑花明)

    @疯狗 @浩天 二次编辑了,求审核啊

  3. 2015-12-03 13:11 | 土夫子 ( 普通白帽子 | Rank:399 漏洞数:75 | 看似山穷水尽,终将柳喑花明)

    @xsser 求审核

  4. 2015-12-25 22:46 | _Thorns ( 普通白帽子 | Rank:1629 漏洞数:245 | WooYun is the Bigest gay place. 网络工...)

    这个漏洞5rank,真吝啬。