当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0170785

漏洞标题:安全体系防护之小疏忽导致的企业安全全面崩盘

相关厂商:江苏广电集团

漏洞作者: mmc

提交时间:2016-01-18 18:55

修复时间:2016-03-05 09:52

公开时间:2016-03-05 09:52

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-18: 细节已通知厂商并且等待厂商处理中
2016-01-20: 厂商已经确认,细节仅向厂商公开
2016-01-30: 细节向核心白帽子及相关领域专家公开
2016-02-09: 细节向普通白帽子公开
2016-02-19: 细节向实习白帽子公开
2016-03-05: 细节向公众公开

简要描述:

我只说危害,你们自己可以评估下影响。
危害一:泄露江苏广电集团旗下多位著名节目主持人的私人信息(手机号,身份证,住址,收入等),比如孟非,李好,李响,彭宇等。
危害二:可控制江苏广电集团旗下卫视节目的演播室,直播车,可控制直播信息。
危害三:江苏广电集团全网可遭受apt攻击(数了下,所涉及的服务器,设备,个人机器加起来上千台设备可受到影响)。

详细说明:

最近半年因为忙别的活动一直没时间提交漏洞。某一天实在太累,于是对一只单身狗来说,放松的方式就是去抽空去瞅瞅非诚勿扰。看看有没有相中的妹子……结果真发现一个不错的妹子。睡了一觉打开神奇看看最近有没有扫到或者收集到有用的网络信息。故事正式开始了。
第一步:我看到一个ip以及所附带的信息说明,为江苏广电集团vpn。ip为:218.94.*.41,根据多年的经验一看就是深信服的vpn。所以尝试了一下通用登陆账号和密码sangfor。结果就这么赤裸裸的登陆成功了。看下图

1.jpg


既然以及能登陆vpn了下面就是内网渗透的工作了
操开我们自己写的神器开始做网段扫描,探测,刚开始只扫描了两个网段,如下图

2.png


3.png


通过对着两个网段的探索找到一些web登陆口,然而根据内网渗透的经验,并不着急尝试拿webshll什么的,因为内网的服务器防护相对来说更加弱一些。所以直接开始扫服务器的相关信息,通过大量的扫描最终找到一台unix的机器并且成功破解出root密码如下图

4.png


通过这台机器又翻出很多敏感信息,做进一步的叠加探索,最终找到几台2003的windows服务器,并且成功登陆数据(sa权限)如下图:

5.jpg


然后就是通过这几台机器中的**.**.**.**的数据库成功提权拿到了服务器的权限,登陆服务器后开始抓取administrator的账号密码以及相关的可用信息,如下图

1.png


2.png


3.png


4.png


最后通过查看服务器上的文件,整理了一些收集到的密码和ip段,做迭代扫描和爆破。最终探索出的整个网段大致如下:
**.**.**.**/16 存在一个大的B段 总共分布着 hr相关系统 计费系统,统一认证系统,财务系统,广告系统以及一些核心设备系统(比如会h3c)等等;**.**.**.**/16 大致分布着员工个人机器。
首先**.**.**.**/16网段的细致探索和信息收集,以及前面收集到的密码的使用,发现了一台运维机器,最终在这台机器看到了如下信息:

1.jpg


2.png


然后,就登陆服务器,在hr的服务器上找到了江苏卫视著名主持人的一些信息,截图如下

1.png


2.png


3.jpg


下面两张是主持人的私人信息,由于公众人物比较敏感所以我做了打码处理,手机号之类的我就不贴了(已给孟非打过电话,确定是本人,已加李响微信做验证,也已确认是本人)。

4.png


5.png


下面是登陆的其他服务器的截图信息

W$}{KUW0M7C]R0$E$PYPT3P.png


31BZBSOXE4$CTQV65~TC(AY.jpg


3ZY48QCU])CIDM~8CU[0R(R.jpg


下面是通过探索找到的会h3c核心设备登陆信息

]0E08EKR`~NF9}}IQVG[5}L.png


5Y%L%QN)4K17%@9H%YZ](DB.png


8FM0[K]L9_HJHXIM%A]0_NX.png


E{3[BCRI4YEYZ0_WXY5%(U5.jpg


UAFM9Z3O2GUN`D$7`GC)P2M.png


Y)SBXV2V(DVQF`GTGI~GBGE.png


整个集团下的dns信息

7@92ZSRZN~0TGJ%(QU6X9[5.png


240_Y7AKWY$3T7IM]IJU5B5.png


@                       A	221.226.*.66
*                       A	172.34.*.250
17news                  A	60.28.*.223
702                     A	218.94.*.14
apply                   A	218.94.*.222
bbs                     A	172.34.*.235
bigtv                   A	211.152.*.20
blog                    A	172.34.*.235
boing                   A	58.213.*.2
book                    A	211.99.*.28
chengshiriji            A	221.231.*.196
cms                     A	218.94.*.17
cms41503                A	172.34.*.231
dianzi                  A	172.34.*.236
edu                     A	211.157.*.200
flv                     A	172.34.*.244
flv1                    A	172.34.*.244
flv10                   A	172.34.*.244
flv2                    A	172.34.*.244
flv3                    A	172.34.*.244
flv4                    A	172.34.*.244
flv5                    A	172.34.*.244
flv6                    A	172.34.*.244
flv7                    A	172.34.*.244
flv8                    A	172.34.*.244
flv9                    A	172.34.*.244
fm1071                  A	221.231.*.196
food                    A	61.132.*.161
game                    A	61.155.*.216
hd                      A	172.34.*.240
house                   A	221.238.*.20
hr                      A	172.31.*.43
info                    A	221.231.*.196
jetv                    A	221.231.*.229
jszy                    A	221.231.*.196
lh                      A	221.231.*.196
love                    A	218.94.*.15
lover                   A	218.94.*.15
m                       A	122.192.*.81
mail                    A	172.34.*.237
                        MX	10	**.**.**.**.
mmsmo                   A	172.34.*.236
oa                      A	172.31.*.51
playerwebservice        A	172.34.*.244
radio                   A	58.213.*.2
ring                    A	221.231.*.196
sata                    A	172.34.*.240
silverlight             CNAME	**.**.**.**.
sms                     A	172.34.*.245
spam                    A	172.34.*.200
superad                 A	221.231.*.196
v                       A	58.213.*.2
vip                     A	172.34.*.238
vod                     A	221.231.*.200
vod2                    A	218.94.*.21
vpn                     A	172.34.*.231
wap                     A	61.145.*.238
wedding                 A	222.73.*.235
wms                     A	172.34.*.241
www                     A	172.34.*.230


其他的一些信息列表

1.png


2.png


直播系统服务器登陆以及核心设备登陆密码列表(有些涉及特别敏感的信息,不敢截图)

1.png


2.png


MS)([GK4FMT(4TW8F1F)FXW.jpg


贴一组直播回看账号如下图:

`JT8)83WJ{2_FI@60BZUO8C.png


iptv直播地址截图如下,加上前面收集到的密码可登陆设备(不敢乱点,我怕!)。

5(CH${JWTR4PEHN6(J25~7I.png


X$2{RH[RP%N`CNCJE[H7(YM.png


直播系统服务器地址截图如下(只做部分截图,内容太敏感不敢做更多操作):

_)54%FQ7Q1}LZ(W9X@1KE]K.png


整个集团网络系统的ip地址列表(部分截图):

W6EP6$Z30I_BSUTZ]`X}$J7.png


绿盟安全设备登陆账号信息:

绿盟NIPS(冰之眼)
WEB管理员:webadmin
密码:nsfocus
网址:https://172.31.*.100
控制台帐号:admin
      密码:nsfocus


上面的截图所有的截图部分敏感信息已经打码,对于本次的安全测试并没有对服务器上的任何数据做任何破坏性操作,只作为截图证明。

漏洞证明:

见详细说明

修复方案:

1):通过这次测试发现整个内网的安全几乎为0,虽然有绿盟等厂商的安全设备但是还是我经常说的那句话,设备是死的,人是活的,管理是动态的。所有的安全体系建设不是靠几台设备就能做好的。还是需要定期做安全测试。
2):整个集团的ip地址分布很庞大,本次测试没有做特别深入的安全监测。通过前面的测试对于内网安全基线我给你们打0分,不懂可以看看我写的安全基线嘛。
3):网络系统的分布和认证也存在很多问题,不清楚可以咨询我们团队!
4):如果厂商做合法授权欢迎找我们做进一步的安全测试!
ps:请来个高rank,顺便问下能不能去非诚勿扰 解决我的单身问题。

版权声明:转载请注明来源 mmc@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:9

确认时间:2016-01-20 15:26

厂商回复:

CNVD确认未复现所述情况,已经转由CNCERT下发给江苏分中心,由其后续协调网站管理单位处置.

最新状态:

暂无

漏洞评价:

评价

  1. 2016-01-18 21:53 | 0c0c0f ( 实习白帽子 | Rank:50 漏洞数:16 | My H34rt c4n 3xploit 4ny h0les!)

    我是白帽子mmc

  2. 2016-01-19 00:52 | 随风的风 ( 普通白帽子 | Rank:217 漏洞数:78 | 微信公众号:233sec 不定期分享各种漏洞思...)

    危害二太长了,直接说 可以让江苏所以频道播放成人小电影