记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

同程旅游某服务配置不当getshell入内网并泄露内网结构

2015-02-03 19:06

http://61.155.159.159/cacti/

cacti系统

61.155.159.159 ftp空密码访问



code 区域
ftp> ls

229 Entering Extended Passive Mode (|||12888|)

150 Opening ASCII mode data connection for file list

-rw-r--r-- 1 root root 653445 Jun 26 2014 6.7-nconf-tianyan-memcached.20140626.tgz

drwxr-xr-x 2 root root 4096 Jun 17 2014 AUTO

drwxr-x--- 5 mysql yunwei 4096 Jun 27 2014 DBI-1.609

-rw-r--r-- 1 root root 510309 Feb 25 2014 DBI-1.609.tar.gz

drwxr-xr-x 3 root root 4096 Jun 17 2014 FTP

drwxr-xr-x 3 ftp ftp 4096 Dec 26 02:01 ftp

-rw-r--r-- 1 root root 0 Dec 25 22:59 move_log.log

-rw-r--r-- 1 root root 441 Jan 22 2013 my.cnf

-rw-r--r-- 1 root root 23595610 Jun 17 2014 mysql-5.5.3-m3.tar.gz

drwxr-xr-x 5 1000 1000 4096 Jun 27 2014 mysqlsla-2.03

-rw-r--r-- 1 root root 33674 Nov 11 2008 mysqlsla-2.03.tar.gz

226 Transfer complete

ftp> ls ftp

229 Entering Extended Passive Mode (|||50775|)

150 Opening ASCII mode data connection for file list

-rw-r--r-- 1 ftp ftp 137364 Jan 16 2014 DBD-mysql-4.026.tar.gz

-rw-r--r-- 1 ftp ftp 1643615 Dec 11 2013 cacti-20131211160701.sql.gz

drwxr-xr-x 6 1000 users 4096 Jun 18 2014 cacti-spine-0.8.7g

-rw-r--r-- 1 ftp ftp 592801 Jul 9 2010 cacti-spine-0.8.7g.tar.gz

-rw-r--r-- 1 ftp ftp 7200529 Aug 30 2013 httpd-2.2.22.tar.gz

-rw-r--r-- 1 ftp ftp 4716070 Sep 5 2013 libiconv-1.13.1.tar.gz

-rw-r--r-- 1 ftp ftp 1335178 Sep 5 2013 libmcrypt-2.5.8.tar.gz

-rw-r--r-- 1 ftp ftp 471915 Sep 5 2013 mcrypt-2.6.8.tar.gz

-rw-r--r-- 1 ftp ftp 931437 Sep 5 2013 mhash-0.9.9.9.tar.gz

-rw-r--r-- 1 ftp ftp 23595610 Sep 4 2013 mysql-5.5.3-m3.tar.gz

-rw-r--r-- 1 ftp ftp 5955981 Jul 19 2012 net-snmp-5.6.2.tar.gz

-rw-r--r-- 1 ftp ftp 201339 Sep 5 2013 php-5.2.17-fpm-0.5.14.diff.gz

-rw-r--r-- 1 ftp ftp 11801597 Sep 5 2013 php-5.2.17.tar.gz

-rw-r--r-- 1 ftp ftp 1345477 Jul 5 2010 rrdtool-1.4.4.tar.gz

226 Transfer complete

ftp>







下载cacti-20131211160701.sql.gz文件



Snip20141226_1.png



解出admin密码 cacti@17u



登陆后使用cacti的命令执行getshell

Snip20141226_2.png





cacti系统中监控了内网的大部分运维重要系统。

Snip20141226_3.png

漏洞证明:

有了cacti nagios 和zabbix也是内网监控必不可少的部分

本机mysql中存在nagios的数据库,同样有内网的结构。

查看本机配置

/usr/local/nagios/etc/nrpe.cfg

定位nagios位置



allowed_hosts=127.0.0.1,61.155.159.159,172.16.6.7,61.155.159.211,192.168.2.211





127.0.0.1,61.155.159.159,172.16.6.7,为本机

61.155.159.211,192.168.2.211为nagios机器

访问之

Snip20141226_4.png



恩 棒棒的

随便打开一个nagios 需要401认证

根据刚才的cacti密码 成功猜到nagios的密码



nagios/nagios@17u



并且所有ngios通杀

Snip20141226_6.png





那么 xxxx@17u在内网可以通杀多少呢 应该不少

修复方案:

关闭未授权访问 健壮内网口令

知识来源: www.wooyun.org/bugs/wooyun-2015-088773

阅读:110377 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“同程旅游某服务配置不当getshell入内网并泄露内网结构”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

学习黑客技术,传播黑客文化

推广

工具

标签云