乐视渗透纪实第七章.深度追击 (配置不当导致服务器权限获取,涉及乐视商城、网酒网)

漏洞详情

披露状态:

2014-02-28: 细节已通知厂商并且等待厂商处理中
2014-02-28: 厂商已经确认,细节仅向厂商公开
2014-03-10: 细节向核心白帽子及相关领域专家公开
2014-03-20: 细节向普通白帽子公开
2014-03-30: 细节向实习白帽子公开
2014-04-14: 细节向公众公开

简要描述:

本专题发布到乌云的目的第一是为了交流基本思路(本人也是菜鸟 ╮(╯▽╰)╭),第二是获取rank以作为回报,第三是就大企业整体的安全防御进行讨论。不足之处,还望指正。

※ 本次渗透是基于乐视官方授权许可的基础上进行的,这些漏洞在上报乌云前均已得到了修复。建议各位做持续或内部渗透前,先和官方联系,取得相应许可,以免出现不必要的误会和麻烦。

※ 本报告中部分信息涉及的隐私部分,将做屏蔽或替换处理。

※ 应厂商意向,本专题希望各位基友仅在乌云讨论,不要外发,谢谢!

详细说明:

生活在继续,渗透也在继续。随着获得的渗透资料不断增多,一些前期不曾见到的漏洞也逐渐增多了。



通过内网新IP段的扫描,发现了http://10.B10.C200.D94:8080存在Jenkins的未授权访问,在脚本命令行处可以执行任意命令。

1.png



2.png





而执行cat /root/.bash_history时,发现乐视管理员的操作历史中有这么一个地址

https://****.****.letv.cn:*****





打开后发现竟然是明鉴的堡垒机系统!(现在知道我为什么爱安恒了吧=。=)

3.png





堡垒机对于运维来说,算是很重要的系统了。那我们能不能想办法登录进去呢?

很遗憾,有验证码的限制,不能进行Fuzz...



不过,我们开动下脑筋:

堡垒机系统,应该也是乐视运维和开发在使用。那么我们用手里哪个系统的管理员去尝试猜解才最有可能成功呢?



没错!就是第一章提到的明鉴漏洞扫描系统!



由于乐视缺乏相应的安全部门,所以漏洞的扫描也是运维在承担。所以用这里面的管理员资料去猜解,成功率最大~



经过十几分钟的猜解,终于功夫不负有心人,成功猜得(letv:TV*******)并登录

4.png





但惊喜总是短暂的,虽然是管理员,但由于权限太低了,根本不能游览重要模块。



不过不能就此放弃!渗透很重要的一点就是细节的利用。有些细节往往可以起到意想不到的效果。



这个管理员的可以下载系统日志,那我们就下载下来,看看有什么新发现吧...

3_1.png





看到这里,突然脑海中闪过了一些似曾相识的东西!

5.png





致新... 这个词好像在哪见过... 让我想想...



我勒个去~ 在这里!http://wooyun.org/bugs/wooyun-2013-039066



曾经上报过乐视一些自动化安装脚本被暴露,里面有一个脚本好像是....

6.png





root:WJZX****** 网酒致新!?



难道这些IP所对应的服务器密码就是这个吗?



虽然这些好像是初始密码,但开发不改初始密码的现象也不少啊....



我们试试....



尝试登录第一台服务器,就成功了...



由于这是网酒网的主机,经过挖掘,可以获取到网酒网全套(包括前台、后台、BBS)数据库信息,并且,在这些主机中,还意外发现了其中包含着一部分乐视商城主机,可获取到乐视商城的数据库信息...



再通过前期积累到的网酒网和乐视商城后台地址,获取到数据库中管理员信息后,可成功登录...

7.png



8.png

漏洞证明:

1.png



2.png



3.png



3_1.png



4.png



5.png



6.png



7.png



8.png

修复方案:

·修改相应密码



·开发一定要加强安全意识,默认密码及时改



·另外继续提一句 消灭弱口令

版权声明:转载请注明来源 3King@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-02-28 11:44

厂商回复:

已经安排处理啦。辛苦。

最新状态:

暂无


漏洞评价: