乐视渗透纪实

乐视渗透纪实

※ 本次渗透是基于乐视官方授权许可的基础上进行的。建议各位做持续或内部渗透前,先和官方联系,取得相应许可,以免出现不必要的误会和麻烦。
※ 本报告中部分信息涉及的隐私部分,将做屏蔽或替换处理。
※ 应厂商意向,本专题希望各位基友仅在乌云讨论,不要外发,谢谢!
详细说明:
在一个月黑风高之夜,一个死宅和他的基友在乐视网看电影。突然某神经君冒出了一个想法,于是渗透就开始了。。
首先,要对外网信息进行搜集。比如域名信息,IP段信息等。
clip_image002
然后,在115.182.C1.D1,发现了一个系统存在s2-016/017命令执行。
clip_image003
clip_image004
不过由于各种原因,导致开代理不成功,比较悲催。。没关系,留着,继续挖。。。
然后在117.121.C1.D1,发现了安恒的明鉴网页漏洞综合扫描平台系统,而且是strtus2框架,未打最新补丁!于是便拿到了此系统的权限。
但是很郁闷,数据源加密了。
clip_image006
但是扫漏系统是一个很重要的平台,能提供大量的乐视内外部漏洞信息,怎能轻易放过呢?
经过遍历,终于在一个脚本里找到了数据库密码。
clip_image008
然后获得管理员密码并登录。
clip_image009
clip_image011
里面的内容很丰富啊,既有乐视大部分系统信息,又有漏洞扫描报告,很多信息都可以直接利用,同时也为下一步渗透提供了资料。

clip_image012
从平台的报告来看,乐视中科云媒站的漏洞似乎较多。经过挖掘,发现了后台的绕过登录,并成功获得权限。

有意思的是,网站IP为89.139,而数据库(root权限)在89.140。一个小的展示网站需要站库分离和这么高的数据库权限么?果然,乐视的baka开发这么做就出问题了。。。此外 还挖到了一些FTP弱口令和业务后台弱口令,就不一一贴出了。

在明鉴漏洞扫描平台中,有很多扫描任务的进度和安全报告。虽然大部分已经修复,但是还是有少部分没有第一时间修复,或存在其它漏洞。此外,任务中的待扫描地址也为下一步渗透提供了资料。
clip_image014
虽然暂时没有足够的权限开代理,但是可以通过一些web在线代理程序,进行简单的操作。
经过查找,发现一些系统存在s2-016/017漏洞未修补,例如:
·乐视客服服务中心(同时存在admin:admin弱口令)
clip_image015
clip_image016
clip_image017
·乐视旧DNS管理系统(同时存在弱口令)
clip_image018
clip_image019

clip_image020
很惊喜,http://wooyun.org/bugs/wooyun-2013-039159,的问题居然在内网又见面了,密码还没改。。
clip_image021

此外,还有很多resin-admin弱口令、svn信息等问题,就不逐个列出了。
clip_image022
回到前面。
到这里,已经获取到4个服务器的权限了。(115.182.C1.D1、明鉴漏洞扫描系统、乐视客服服务中心、乐视旧DNS系统)。这时候要做的事,就是开始定位内网IP来源,和整理管理员资料,以获取更多内网信息。可以通过last、ssh的konwn_hosts、netstat、数据库管理员信息的IP来源等等方法获取。
clip_image024
经过获取,得到了以下内网IP段:
从明鉴漏洞扫描系统获取的有
10.B1.C0
10.B1.C1
10.B1.C5
10.B1.C6
从乐视客服服务中心获取的有
10.B2.C3
10.B2.C4
10.B2.C5
10.B2.C6
10.B3.C1
其它两个系统得到的IP段与上面重合。
这些信息都为接下来的渗透提供了资料。

现在手里掌握的资料有:4个系统权限,和一些内网系统段和内网办公段。
按道理说,办公段和系统段应该要有所隔离,但是经过探测,一些似乎没有进行有效隔离。
由于在线代理只能进行一些基本的操作,所以只能进行简单的web服务探测,看看有没有员工因为安全意识不足而泄露一些信息。比如测试站弱口令,上传测试点等基本挖掘。
果然,运气不错。不一会便在10.B1.C1.D105的80端口上发现了名为“dedecms”的目录,打开后发现为安装完后的默认页面,猜测是没有更改默认密码的,而且版本较低。于是直接利用网上的dedecms getshell方法得到了shell。
里面有一些文件。另外这台机器装了TortoiseSVN,可以获取到SVN密码,但是里面没项目,所以就没什么用。
乐视的OA用的是通达的OA,从Program Files可以看到,有通达OA的客户端。那么里面是否会有自动登录要用到的员工密码呢?
经过查找,在/data/user.db文件中,发现了以下内容
clip_image025
auto_login_passzhan****henDarren
那么密码是不是就是zhan****henDarren呢?
答案是对的
于是利用他的密码进入了乐视OA。
clip_image027
OA中有一些聊天记录和开发项目信息。
随后,在10.B1.C1.D123的80端口上,发现了appserv的默认安装页面。
clip_image028
如果是测试程序,打开80端口后应该是显示web程序的内容啊,怎么会是默认页面?这么说,appserv的默认配置也没改?
于是百度了appserv的mysql默认密码,配合appserv默认自带的phpmyadmin,成功登录进数据库。
然后利用appserv自带的phpinfo获得web绝对路径,再利用sql导出shell,成功获得权限。
clip_image029
同样的问题还在继续。
在10.B1.C3.D136,发现了Vertrigo Serv的默认页面,百度Vertrigo Serv的默认密码后,用appserv相同的方法,获得了权限。
clip_image030
clip_image031
俗话说再一再二不再三,但是随着渗透的继续,wamp也来凑热闹了...
这些段全部扫下来,出现默认配置不修改,测试程序弱口令等此类安全意识不足的机器多达10台。
其中一台机器里就存着这么个东西
clip_image033
将近20台外网应用机的密码。这不是送货上门么?正愁没办法代理来着。。
于是用已有的外网机执行ssh转发,转发至任意一台机器,然后root登录,开代理。。
从机器内可以看出,这些机器都是乐视手机站的应用机。而通过挖掘,也成功获得了大量数据库信息。
随后经查看,又获取到了乐视手机站的后台地址。通过得到的数据库内容,拿到了管理员信息,并成功登录乐视手机站后台。
clip_image034
后台权限极大,例如可直接修改客户端显示内容等信息。
clip_image036
甚至可替换所有乐视移动端的开机大图。
clip_image038
可见,乐视员工的安全意识急需得到加强。

拿到shell后,除了DEF等盘的资料外,C盘的很多东西也是可以利用的。比如很多默认配置可能会存储在程序目录内,也可以读读IE历史记录,cookies之类的。IE缓存里也许也有一些信息呢?比如邮件缓存?
于是在10.B1.C1.D105的IE收藏夹里,发现了乐视云的后台:
http://C1.B1.letvcloud.com:20000

clip_image040
下意识地ping了一下.. 10.B20.C77.D140...
嗯... wait!!
我怎么记着中科云媒网站的IP是123.125.89.139来着..
难道这之间有联系?
马上在中科云媒服务器执行ifconfig..
果然,内网IP是10.B20.C77.D139!
而在前面,已经获得了10.B20.C77.D140的root密码。
clip_image041
那就意味着,很可能里面有乐视云后台的数据咯?
于是连接到10.B20.C77.D140的Mysql,跨库,果然别的数据库找到了乐视云后台的数据!然后获得管理员信息,成功登录后台!
clip_image043
可控制乐视云站首页。

clip_image045
用户数据表截图。

clip_image046
通过后台丰富的工具,可以上传WebShell,于是成功拿到了乐视云后台和前台的系统权限。可以看到,运维一次不经意的数据库权限配给失误,导致了乐视云全套业务被拿下。
在各大公司,都多多少少可能存在些这种问题。比如以前本菜提交过的盛大系列第六章
WooYun: 【盛大180天渗透纪实】第六章.红色警戒 (共库+上传=用户重要资料)
就因为运维权限配置不当,导致30多万明文用户资料存在风险。
建议以后运维在权限配给时,一定要遵循最小权限原则,以免造成不必要安全隐患。

 

整理自乌云。

注意:目前该厂商相关漏洞已修复,仅作技术交流和经验学习,请勿模仿。

tag