记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

看我如何用wifi万能钥匙物理撸穿京东漫游内网

2015-06-05 20:00
漏洞标题 看我如何用wifi万能钥匙物理撸穿京东漫游内网
相关厂商 京东商城
漏洞作者 杀器王子
提交时间 2015-04-16 21:15
公开时间 2015-06-05 09:50
漏洞类型 重要敏感信息泄露
危害等级
自评Rank 20
漏洞状态 厂商已经确认
Tags标签

漏洞详情

路过京东益园分部,结果在楼外发现了360buy的信号,之前wifi万能钥匙被纰漏可以查询任意已分享的mac的密码,操起神器扫一扫。

Snip20150416_6.png

密码竟然是360buy123456

好吧 连一下试试呢。

Snip20150416_7.png

连接成功,看看ip

Snip20150416_8.png

漏洞证明:

ok 内网ip

可是现在的网段是既不能出外网也不能到达办公业务网段的

那怎么办呢

看一下dns服务器

Snip20150416_9.png

扫一下dns网段的端口

Snip20150416_10.png

扫描10.12.96.58发现开放vnc

}YDSR)Y_U@PLB{5BK17R~4V.jpg

得知用户名为jingdong

然后ssh连接 密码猜jingdong 结果真的进去了 orz

Snip20150416_12.png

Snip20150416_11.png

Snip20150416_13.png

直通erp 到达业务网段。

可以反弹出外网

Snip20150416_14.png

没留任何后门 没做任何破坏

手工走人。

修复方案:

修改密码 加强员工意识。

版权声明:转载请注明来源 杀器王子@乌云

转载请注明:安全脉搏 » 看我如何用wifi万能钥匙物理撸穿京东漫游内网

知识来源: www.secpulse.com/archives/33003.html

阅读:138790 | 评论:0 | 标签:文章

想收藏或者和大家分享这篇好文章→复制链接地址

“看我如何用wifi万能钥匙物理撸穿京东漫游内网”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云

本页关键词