一次失败的漫游百度内部网络过程

漏洞详情

披露状态:

2014-02-14: 细节已通知厂商并且等待厂商处理中
2014-02-14: 厂商已经确认,细节仅向厂商公开
2014-02-24: 细节向核心白帽子及相关领域专家公开
2014-03-06: 细节向普通白帽子公开
2014-03-16: 细节向实习白帽子公开
2014-03-31: 细节向公众公开

简要描述:

安全是一个整体,保证安全不在于强大的地方有多强大,而在于真正薄弱的地方在哪里。

本实例从一个不起眼的细节展开,发现致命漏洞后,为了检测百度内部是否有完善的监控报警机制,便尝试进行渗透挖掘,最终被系统规则检测到,暴漏了整个测试行为。

本次渗透的心得在于,无论对于厂商还是渗透人员来说,细节是多么重要。

欢迎百度选择忽略此漏洞,让基友们提前围观到细节。

(猪猪侠:你妹....)

详细说明:

#1 猜测及发现隐患



今晚在给手机上的应用升级时,闲着无聊打开了Wireshark进行抓包。就当升级完准备拔线时,窗口里突然蹦出了几个发向百度二三级域名的连接:loc.map.baidu.com、mobads.baidu.com、mobads-logs.baidu.com(原图已无法复现)

1.jpg





想起昨天和剑心聊(gao)天(ji)时谈到的一些企业高层对安全的态度,便下意识地ping了这三个域名一下。

前两个都解析到了cdn上,但是当ping到mobads-logs.baidu.com时,却发现并未到cdn,而是解析到了一个真实地址。

2.jpg





#2 IP段扫描及发现漏洞



于是利用扫描工具,对123.125.114段进行全面的扫描。



最终在123.125.114.213,发现开放了web服务,而且疑似是内部测试系统的对外。

3.jpg





首先是在模板下载链接处发现任意文件下载漏洞。

4.jpg



t1.jpg



6.jpg





随后又发现有一处上传点。

5.jpg





上传后虽然未返回上传地址,但通过查看源码之后发现了这个

7.jpg





从这里可以看出,文件传上去后是存储在了heat-map/upload里,而不是临时存储。

接着便猜测,是否上传效验了文件类型,并且上传后有没有改名。



做一个简单的验证:上传一个文件名为2.jsp的输出“Helloworld”jsp程序,然后尝试访问http://123.125.114.213/heat-map/upload/2.jsp,发现返回“Helloworld”,由此证明上传漏洞存在。

8.jpg





#3 内网基础信息的获取及触发报警



在进一步测试前,曾经考虑过百度很可能有较健全监控报警机制。为了测试是否存在,便上传了菜刀JSPShell进行渗透挖掘。通过目录和文件信息可以看到,此服务器有多名百度员工在使用,存在大量脚本和相关信息。

9.jpg





通过netstat可以看到,此服务器有往百度多个内网B段的连接,如果能够获得这台服务器的高权限,将极有可能进一步深入百度内网。

10.jpg





同时,从员工留下的脚本内发现了多处映射在根目录的FTP匿名和数据库信息。

11.JPG





对服务器进行遍历后,mongo发现,百度服务器上安装了waf软件。

12.jpg





13.jpg





sms_cmd="gsmsend -s 10.23.199.131:15008 -s 10.23.248.104:15008"





跟踪链接后,到达百度短信报警平台。

15.jpg



16.jpg





目的已经达到,百度服务器有健全的监控机制,便没有进一步检测。由于JSPShell返回的部分信息触发报警,没过多久,Shell被清除,服务器下线,渗透结束。



另外,同段中的123.125.114.240疑似出现注入漏洞,请注意。

14.jpg





申明:后部分的挖掘是和先与剑心沟通后,征得同意才进行的。如有欠妥之处,还望原谅。



另外,感谢mongo基友的协♂助♂测♂试~

漏洞证明:

修复方案:

·测试站点不要暴露在外网。



·任何情况下,都要注意外部信息不要被暴露。



·进一步加强网络安全,继续为上亿网络用户提供安全,优质的服务!

版权声明:转载请注明来源 3King@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-02-14 13:14

厂商回复:

感谢3King的友情检测,我们会继续提升能力,也请各位白帽子在安全测试中注意遵守国家相关法律。

最新状态:

暂无


漏洞评价: