SFTP/FTP密码泄露—入侵美国民主基金会ned.org

SFTP/FTP密码泄露—入侵美国民主基金会ned.org

前言/漏洞介绍

sftp-config.json文件是一些使用SFTP/FTP的客户端软件需要使用到的配置文件,里面包含了非常敏感的FTP明文帐号密码信息,然而有些网站却会不慎将如此敏感的文件暴露在互联网中。

谷歌搜索“sftp-config.json index of”发现有80,800条相关信息。如图:

clip_image001

实战

今天我的渗透目标是ned.org,美国国家民主基金会。美国国家民主基金会 (NED) 是一家私有的非牟利基金会,致力于协助全世界的民主机构的发展和壮大。每年 NED 都会提供超过 1,000 笔资助款项,用以支持 90 多个国家或地区为民主目的而工作的海外非政府组织的项目。 自 1983 年创建以来,该基金会一直坚守在全世界各地为民主而奋斗的前沿,同时发展成为多方面的机构,成为全世界民主活动家、从业者和学者们的活动、资源和情报交换中杻。

打开http://www.ned.org/,主站使用的是Drupal 6.26,Apache服务器,IP 173.247.252.117。我的惯例是Nmap扫描+WVS扫描先挂机,同时手工收集信息。

Nmap结果

nmap -sV -v –O 173.247.252.117

PORT STATE SERVICE VERSION

21/tcp open ftp Pure-FTPd

25/tcp open smtp Exim smtpd 4.85

53/tcp open domain ISC BIND 9.3.6-25.P1.el5_11.2

80/tcp open http Apache httpd

110/tcp open pop3 Courier pop3d

143/tcp open imap Courier Imapd (released 2011)

443/tcp open ssl/http Apache httpd

465/tcp open ssl/smtp Exim smtpd 4.85

587/tcp open smtp Exim smtpd 4.85

993/tcp open ssl/imap Courier Imapd (released 2011)

995/tcp open ssl/pop3 Courier pop3d

3306/tcp open mysql MySQL (unauthorized)

5666/tcp open tcpwrapped

WVS扫描主站未发现可以利用的漏洞,子目录存在一个CMS程序,我们拿wpscan跑一下

http://www.ned.org/30years/ WordPress Version: 3.8.1 (Outdated)

wpscan --enumerate u --enumerate p --url http://www.ned.org/30years/

经过测试,扫描出的插件漏洞都不生效!最近的WordPress Stored Xss由于站点未开启评论也鞭长莫及。



OK,看看别的着手点,查询站点信息和旁站工具网址:http://tcpiputils.com/

查到173.247.252.117的旁站:

defendingcivilsociety.org

demdigest.net

demdigest.org

nationalendowmentfordemocracy.org 跳转到http://www.ned.org/

wilgdc.info

wilgdc.org 403 Apache

一个个看吧,

继续一边WVS一边手工漫游,最后WVS扫描出几个sftp-config.json文件

www.defendingcivilsociety.org/en/sftp-config.json

www.defendingcivilsociety.org/fr/sftp-config.json

www.defendingcivilsociety.org/ru/sftp-config.json

www.defendingcivilsociety.org/sp/sftp-config.json

clip_image003

可以看到是defendingcivilsociety.org的ftp主机、帐号、密码,不会是真的吧?拿ftp客户端连上去看看。

好地 连上!两个目录,一个全部下载回来分析。

clip_image004

clip_image006

prod是此站点的目录,翻代码都没找到后台在哪,使用了一个前端框架 HTML5 Boilerplate,php代码是CodeIgniter框架的。

既然找不到后台登录点,直接通过FTP传shell吧,嗯。。2秒后

clip_image008

NED呢?上级目录便是……

clip_image010

看看Linux版本

clip_image012

2.6.18-400 centos,提取没戏,收集各种帐号密码,劫持后台明文……下一步的工作还很多

clip_image013

最终的目标是*内网,*员工机器,和邮箱。

总结:

这次渗透检测sftp-config.json帮了大忙,互联网中还存在着大量泄露FTP敏感信息的主机,等待被挖掘。