安全基礎(chǔ)教育第一季：堡壘是從內(nèi)部攻破的

WindySky 2017-07-17

展開全文

處處留心皆學(xué)問

0x00. 背景：

技術(shù)團(tuán)隊(duì)第一忙于業(yè)務(wù)邏輯，第二大量新人涌入，會(huì)把過去大家在安全上栽的跟頭重新趟一遍，因此該做的培訓(xùn)咱還得做，該說的經(jīng)驗(yàn)教訓(xùn)還得說，一次不行就兩次，兩次不行三次，重復(fù)再重復(fù)。

0x01. 堡壘是從內(nèi)部攻破的：

一次成功的入侵滲透，并不需要是什么高危漏洞，幾個(gè)普普通通的中等漏洞，搭配一次社會(huì)工程學(xué)行動(dòng)，就可以搞定。

一個(gè)公司成千上萬人，往少里說也有 80% 的人安全意識(shí)淡薄，有耐心的攻擊者會(huì)盯好幾年，窮盡各種招數(shù)，沒有攻不進(jìn)去的堡壘。

員工無知者無畏

大多數(shù)員工都圖省事兒，公司郵箱以及其他內(nèi)部 IT 系統(tǒng)都用簡單密碼甚至空密碼，好些個(gè)知名 IT 系統(tǒng)也不對(duì)此做任何限制（甚至是專業(yè)企業(yè)級(jí)軟件制造商出品的IT系統(tǒng)）。

弱密碼遇到不設(shè)防的 IT 系統(tǒng)，對(duì)攻擊者來說真是福音。

案例一，烏云漏洞報(bào)告：重置某東任意內(nèi)部郵箱用戶密碼

漏洞提交時(shí)間：

2013-10-26

原理：

公司做得越來越大的時(shí)候，總會(huì)出現(xiàn)那么幾個(gè)安全意識(shí)薄弱的人員（俗稱豬一樣的隊(duì)友），他們往往會(huì)做出一些讓人無法理解的事情，比如：他會(huì)毫不猶豫地雙擊運(yùn)行郵件內(nèi)的 EXE 附件，或者使用跟用戶名一樣的密碼，或者用戶名+當(dāng)前年份的密碼。

實(shí)施步驟：

1）通過社會(huì)工程學(xué)神器 theharvester 工具，和 baidu/google 搜索引擎，收集所有關(guān)于某東員工的信息；

2）找到了可用的登錄接口驗(yàn)證口令，https://mail.....com/owa/auth/logon.aspx，某東的郵件服務(wù)使用了微軟的 Exchange 服務(wù)，并無驗(yàn)證碼限制，可以直接 Fuzz；

注：Fuzz 指的是用隨機(jī)壞數(shù)據(jù)攻擊一個(gè)程序，然后等著觀察哪里遭到了破壞。

3）成功 Fuzz 出某個(gè)用戶的密碼，再結(jié)合 Exchange 的通訊錄功能，導(dǎo)出所有用戶名列表；

4）是的，現(xiàn)階段，你已經(jīng)擁有了所有某東員工的聯(lián)系信息列表。

重復(fù)使用 Fuzz 規(guī)則，測試后回顯找到了 2865 名員工的密碼，均為弱口令。

更有甚者，互聯(lián)網(wǎng)開發(fā)人員還會(huì)主動(dòng)暴露自家機(jī)密。每家知名公司都有這么幾個(gè)沒心沒肺的人，在開源社區(qū)泄露源碼或敏感信息：

盛大某開發(fā)人員意識(shí)不足泄漏內(nèi)部郵箱賬號(hào)密碼（github）

迅雷某開發(fā)人員意識(shí)不足泄漏內(nèi)部郵箱賬號(hào)密碼（github）

一次成功的漫游京東內(nèi)部網(wǎng)絡(luò)的過程（由一個(gè)開發(fā)人員失誤導(dǎo)致）（github）

新浪開發(fā)人員安全意識(shí)不足導(dǎo)致部分源碼泄漏（googlecode）

騰訊多組內(nèi)部郵箱賬號(hào)密碼泄漏（github）

……幾乎每個(gè)大公司都報(bào)過這個(gè)漏洞。

開源社區(qū)暴露了郵箱用戶名密碼之后，又會(huì)怎么樣？后果很可怕。

案例二，烏云漏洞報(bào)告：一次成功地漫游某東內(nèi)部網(wǎng)絡(luò)的過程

漏洞提交時(shí)間：

2014-04-03

后果：

1）郵箱里找到了 VPN 登錄方式：

圖1 某東VPN郵件截圖

2）撥 VPN 登 3389 進(jìn)入堡壘機(jī)：

圖2 某東堡壘機(jī)登錄截圖

3）進(jìn)入堡壘機(jī)，看瀏覽器歷史記錄，找到了各種高大上的管理系統(tǒng)：

圖3 某東內(nèi)部各種應(yīng)用入口

4）還找到了執(zhí)行 SQL 刷庫的地方%#&……

圖4 某東執(zhí)行SQL的內(nèi)部界面

總結(jié)一下：

以 github 為首的版本控制信息泄漏：

由于 github 支持強(qiáng)大的搜索語法，可以很方便地搜索到一些常規(guī)搜索引擎無法搜索到的內(nèi)容，如搜索內(nèi)部項(xiàng)目、密碼、密鑰等。

還可以通過 github 來查找代碼安全問題，如輸入規(guī)則：extension:php mysql_query $_GET，可以搜索到大量包含 mysql_query $_GET 的請(qǐng)求，可以有針對(duì)性地進(jìn)行代碼審計(jì)。

當(dāng)你把自己的項(xiàng)目代碼上傳到 github 時(shí)，看看配置文件里是不是有不能說的秘密，思量一下后果。

運(yùn)維配置暴露細(xì)節(jié)

生產(chǎn)環(huán)境配置不當(dāng)，加上開源系統(tǒng)層出不窮的漏洞，敏感信息輕輕松松泄露，經(jīng)常坑爹的服務(wù)有 Resin-doc、SVN、git……

案例三，烏云漏洞報(bào)告：某公司源碼泄露導(dǎo)致配置信息泄漏

漏洞提交時(shí)間：

2011年

原理：

Caucho Resin 是一款 Web 應(yīng)用服務(wù)器，它自帶一個(gè) resin-doc app，這個(gè)破玩意兒在 Resin 3.0 上有一個(gè)漏洞，可以被當(dāng)成一個(gè)后門。

Resin 的某個(gè) CGI 程序?qū)崿F(xiàn)上存在輸入驗(yàn)證漏洞，遠(yuǎn)程攻擊者可能利用此漏洞讀取 Web 主目錄下的任意文件，包括 JSP 源碼或類文件。如果系統(tǒng)中安裝了 resin-doc 就可能讀取 Web 主目錄中的所有文件，包括類文件，然后可以反編譯這些文件瀏覽 Java 源代碼。

實(shí)施步驟：

2011年時(shí)，你可以訪問這樣的路徑：http://www.....com/resin-doc/viewfile/?file=index.jsp。

攻擊者可以設(shè)置 resin-doc 外的上下文路徑，讀取其他 Web 目錄的任意文件：http://localhost/resin-doc/viewfile/?contextpath=/otherwebapp&servletpath=&file=WEB-INF/web.xml。

如果運(yùn)維不強(qiáng)制規(guī)范上線部署 Resin 時(shí)一律刪除 resin-doc app，那么類似的悲劇還會(huì)繼續(xù)發(fā)生，如：

搜狐網(wǎng)Resin配置漏洞，導(dǎo)致敏感信息泄露

優(yōu)酷多個(gè)安全漏洞集合（Resin配置信息泄露……）

愛奇藝Resin配置漏洞

因?yàn)槟阌锌赡懿渴鹨粋€(gè)低版本 Resin。

SVN 的隱藏目錄問題，各家也遇到過。

案例四，烏云漏洞報(bào)告：某財(cái)經(jīng)網(wǎng)某處SVN泄露

漏洞提交時(shí)間：

2014-11-19

原理：

發(fā)布流程不規(guī)范的情況下，代碼上線時(shí)，Java/PHP等都特別容易帶入 SVN 隱藏目錄。

在 svn 1.6 以下版本，通過訪問 .entries，可以下載到 svn 里的代碼。在 svn 1.7 之后的版本，通過訪問 .svn/wc.db，對(duì)應(yīng)的 metasploit 模塊也是有利用程序的。

實(shí)施步驟：

http://service.....com.cn/.svn/entries

就是這么簡單。

這名白帽子還總結(jié)了兩點(diǎn)危害：

1.泄露 svn 地址和用戶信息，通過爆破可控制 svn 權(quán)限；

2.可以獲取截止到上一次 svn 操作的網(wǎng)站源碼。

再比如樂視某分站源碼泄漏。

git

在 google 里搜索關(guān)鍵詞 *".git" intitle:"Index of"，還可以進(jìn)一步找到 git 暴露在外的站點(diǎn)。

phpinfo

生產(chǎn)環(huán)境里，phpinfo 也隨便放，視搜索引擎為無物？

http://www./phpinfo.php

http://jwc.:8080/phpinfo.php

后臺(tái)不設(shè)防

Elastic Search 官方的控制臺(tái)本身沒有訪問控制，一般來說大家都會(huì)僅限內(nèi)網(wǎng)訪問，但咱家在這上面也吃過虧。

案例五，烏云漏洞報(bào)告：某站ElasticSearch遠(yuǎn)程命令執(zhí)行

漏洞提交時(shí)間：

2015-03-05

原理：

es 控制臺(tái)內(nèi)網(wǎng)域名本來是有防火墻策略的，但某天調(diào)整策略時(shí)子網(wǎng)掩碼誤操作寫錯(cuò)了，導(dǎo)致外網(wǎng)可以訪問到 es 控制臺(tái)。

剛好 ES 自己爆了一個(gè)高危安全漏洞(CVE-2015-1427)，該漏洞可導(dǎo)致遠(yuǎn)程代碼執(zhí)行，危害極大。倆事兒撞一塊了。

圖5 es漏洞利用截圖

幸好是白帽子找出來的。

0x02. 小結(jié)：

不一定非要出高危漏洞，白帽子就可以用社工+中等漏洞攻進(jìn)來，開發(fā)、測試、運(yùn)維，都要認(rèn)真，前面這些環(huán)節(jié)不認(rèn)真，就得等漏洞爆出來后再認(rèn)真了。

參考文獻(xiàn)：

1，百度QA，將Fuzz進(jìn)行到底；

2，2014，烏云知識(shí)庫，fuzzing XSS filter；

3，2014，烏云知識(shí)庫，被忽視的開發(fā)安全問題；

4，2006，模糊測試；

-EOF-

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來自： WindySky > 《運(yùn)維管理》

舉報(bào)/認(rèn)領(lǐng)