IP: **.**.**.** 中国铁建蓝信系统



该服务器开放了 6379端口也就是redis默认的端口了,未授权访问,直接远程连接



然后此时一般的思路就是找到网站物理路径,然后通过备份拿到webshell,然而这个站点的物理路径并没有找到,但是端口扫描发现该服务器开放了ssh22端口,于是可以通过问题描述里连接的方法拿到shell了,

首先通过ssh-keygen生成private和public密钥。然后将生成的public密钥拷贝到远程机器后,就可以使用ssh登录到远程机器上去而不要密码。



上图,红色圈内表示生成的公钥。我们只需要将这个公钥上传到目标服务器的“/root/.ssh/”目录并重命名为authorized_keys。做好了后,我们就可以直接登录目标服务器了,不需要输入用户名和密码。

但是怎么通过redis拷贝文件过去呢?其实只需把id_rsa.pub里的内容复制过去就行了。具体看图。

首先看看id_rsa.pub里的内容



我们只需把这些内容想备份一句话***的形式备份到/root/.ssh/目录下就行了,当然备份的名字得改为uthorized_keys,如图,最好在公钥内容的前面和后面都加上一点空格和回车,不然貌似数据库的其它内容会造成影响。





code 区域 
PS(然后发现其实我不是第一个进来的了,,因为之前就发现文件备份的位置和名字都已经是上图那样了,而且下图是之前的公钥内容,我进来才替换的,完全是跟着上面那篇外国人写的文章做的,后来测试时,公钥又被换回去了。很不爽没法继续。于是擅自给redis数据库设了个密码为hamapi   所以不要打我。。。)
redis设置密码 config set requirepass test123
查询密码 config get requirepass





通过save命令保存后,直接ssh远程即可登录了,无需密码,如图


漏洞证明:

既然有了ssh,而且在内网还是root权限,不继续怎么能行呢?

通过ssh建立一个socket5连接,本地再通过配置proxychains就可以继续内网***了

ssh建立socke5连接 ssh -f -N -D **.**.**.**:7777 root@**.**.**.**



接下来就扫描内网段,信息收集,再结合乌云上已经爆出的铁建的帐号密码扫弱口令了

简单测试了下,直接上结果



1、首先跳板服务器mysql帐号密码泄漏,而且还允许外联,泄漏大量信息

**.**.**.** mysql帐号lanxin 密码crcc_t20150428



2、仍有多台linux服务器装有redis且都为空口令导致可按同样方法远程ssh,如图



受影响服务器

code 区域 
**.**.**.**: 6379
**.**.**.**: 6379
**.**.**.**: 6379
**.**.**.**: 6379
**.**.**.**: 6379
**.**.**.**: 6379





3、

code 区域 
**.**.**.**  tomcat弱口令  admin  admin  服务器沦陷










4、

code 区域 
**.**.**.**40  admin  123456

海康威视摄像头,没装插件,看不见了,。。





5、

code 区域 
中国铁建协同管理系统  **.**.**.**:8080
弱口令账户,密码全为123456
liwei
lim
lijuan
wangjun
lili
wanghui
zhangb
yangjing
liuhui
wangjh
zih
lijian
yangyan
wjg
chenhua
lifeng
zhangjianguo
wangdong
zhangzq
liuyun
huangy
wanggx
yangling
lixiaohong



通讯录



工管系统等。。。。。





5、

code 区域 
**.**.**.**  企业生产计划统计管理系统  弱口令 sunps  123456







6、

code 区域 
http://**.**.**.**64   安全隐患排查系统  弱口令  libin  123456











7、多台华为SUG5530防火墙弱口令

code 区域 
**.**.**.**  **.**.**.**  **.**.**.**
弱口令admin Admin@123



这个危害有点大吧。。





8、

code 区域 
**.**.**.**:8080 中国铁建工程项目信息系统弱口令
123456789 123456

1 123456

7758521 123456

987654321 123456

lili 123456

yangling 123456

11 123456

andy 123456

9 123456







9、

code 区域 
http://**.**.**.**51:8080/  admin  admin  蓝盾网页防篡改系统



威胁主站以及其它站点安全

中国铁建-CN

中非

铁城监理

铁建青年网

铁建财务

国际集团

中国铁建-EN






10、

code 区域 
人力资源系统apusic弱口令  http://**.**.**.**31:6890/admin/protected/index.jsp  admin   admin







11、其它

ftp弱口令 

**.**.**.**6 

**.**.**.** oracle 123456

**.**.**.**32 oracle oracle










隐患抽样系统 **.**.**.**/login.do?reqCode=init libin 123456