乐视渗透纪实第四章.意外收获 (权限配给失误导致可控乐视云业务)

漏洞详情

披露状态:

2014-02-18: 细节已通知厂商并且等待厂商处理中
2014-02-18: 厂商已经确认,细节仅向厂商公开
2014-02-28: 细节向核心白帽子及相关领域专家公开
2014-03-10: 细节向普通白帽子公开
2014-03-20: 细节向实习白帽子公开
2014-04-04: 细节向公众公开

简要描述:

本专题发布到乌云的目的第一是为了交流基本思路(本人也是菜鸟 ╮(╯▽╰)╭),第二是获取rank以作为回报,第三是就大企业整体的安全防御进行讨论。不足之处,还望指正~

※ 本次渗透是基于乐视官方授权许可的基础上进行的,这些漏洞在上报乌云前均已得到了修复。建议各位做持续或内部渗透前,先和官方联系,取得相应许可,以免出现不必要的误会和麻烦~

※ 本报告中部分信息涉及的隐私部分,将做屏蔽或替换处理~

※ 应厂商意向,本专题希望各位基友仅在乌云讨论,不要外发,谢谢~!

详细说明:

拿到shell后,除了DEF等盘的资料外,C盘的很多东西也是可以利用的。比如很多默认配置可能会存储在程序目录内,也可以读读IE历史记录,cookies之类的。IE缓存里也许也有一些信息呢?比如邮件缓存?



于是在10.B1.C1.D105的IE收藏夹里,发现了乐视云的后台:

http://C1.B1.letvcloud.com:20000



1.jpg





下意识地ping了一下.. 10.B20.C77.D140...



嗯... wait!!



我怎么记着中科云媒网站的IP是123.125.89.139来着..



难道这之间有联系?



马上在中科云媒服务器执行ifconfig..



果然,内网IP是10.B20.C77.D139!



而在第一章http://wooyun.org/bugs/wooyun-2014-050537里,已经获得了10.B20.C77.D140的root密码。

2.jpg





那就意味着,很可能里面有乐视云后台的数据咯?



于是连接到10.B20.C77.D140的Mysql,跨库,果然别的数据库找到了乐视云后台的数据!



然后获得管理员信息,成功登录后台!

3.jpg





可控制乐视云站首页。

4.jpg





用户数据表截图。

5.jpg





通过后台丰富的工具,可以上传WebShell,于是成功拿到了乐视云后台和前台的系统权限。



可以看到,运维一次不经意的数据库权限配给失误,导致了乐视云全套业务被拿下。



在各大公司,都多多少少可能存在些这种问题。比如以前本菜提交过的盛大系列第六章



WooYun: 【盛大180天渗透纪实】第六章.红色警戒 (共库+上传=用户重要资料)



就因为运维权限配置不当,导致30多万明文用户资料存在风险。



建议以后运维在权限配给时,一定要遵循最小权限原则,以免造成不必要安全隐患。

漏洞证明:

1.jpg



2.jpg



3.jpg



4.jpg



5.jpg

修复方案:

·遵循最小权限原则。

版权声明:转载请注明来源 3King@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-02-18 20:08

厂商回复:

感谢3king,都已经在处理中啦。

最新状态:

暂无


漏洞评价: