中国铁建内网漫游沦陷多个重要部门泄漏大量信息(redis+ssh-keygen免认证登录案例)
IP: **.**.**.** 中国铁建蓝信系统
该服务器开放了 6379端口也就是redis默认的端口了,未授权访问,直接远程连接
然后此时一般的思路就是找到网站物理路径,然后通过备份拿到webshell,然而这个站点的物理路径并没有找到,但是端口扫描发现该服务器开放了ssh22端口,于是可以通过问题描述里连接的方法拿到shell了,
首先通过ssh-keygen生成private和public密钥。然后将生成的public密钥拷贝到远程机器后,就可以使用ssh登录到远程机器上去而不要密码。
上图,红色圈内表示生成的公钥。我们只需要将这个公钥上传到目标服务器的“/root/.ssh/”目录并重命名为authorized_keys。做好了后,我们就可以直接登录目标服务器了,不需要输入用户名和密码。
但是怎么通过redis拷贝文件过去呢?其实只需把id_rsa.pub里的内容复制过去就行了。具体看图。
首先看看id_rsa.pub里的内容
我们只需把这些内容想备份一句话木马的形式备份到/root/.ssh/目录下就行了,当然备份的名字得改为uthorized_keys,如图,最好在公钥内容的前面和后面都加上一点空格和回车,不然貌似数据库的其它内容会造成影响。
PS(然后发现其实我不是第一个进来的了,,因为之前就发现文件备份的位置和名字都已经是上图那样了,而且下图是之前的公钥内容,我进来才替换的,完全是跟着上面那篇外国人写的文章做的,后来测试时,公钥又被换回去了。很不爽没法继续。于是擅自给redis数据库设了个密码为hamapi 所以不要打我。。。)
redis设置密码 config set requirepass test123
查询密码 config get requirepass
通过save命令保存后,直接ssh远程即可登录了,无需密码,如图
漏洞证明:
既然有了ssh,而且在内网还是root权限,不继续怎么能行呢?
通过ssh建立一个socket5连接,本地再通过配置proxychains就可以继续内网渗透了
ssh建立socke5连接 ssh -f -N -D **.**.**.**:7777 root@**.**.**.**
接下来就扫描内网段,信息收集,再结合乌云上已经爆出的铁建的帐号密码扫弱口令了
简单测试了下,直接上结果
1、首先跳板服务器mysql帐号密码泄漏,而且还允许外联,泄漏大量信息
**.**.**.** mysql帐号lanxin 密码crcc_t20150428
2、仍有多台linux服务器装有redis且都为空口令导致可按同样方法远程ssh,如图
受影响服务器
**.**.**.**: 6379
**.**.**.**: 6379
**.**.**.**: 6379
**.**.**.**: 6379
**.**.**.**: 6379
**.**.**.**: 6379
3、
**.**.**.** tomcat弱口令 admin admin 服务器沦陷
4、
**.**.**.**40 admin 123456
海康威视摄像头,没装插件,看不见了,。。
5、
中国铁建协同管理系统 **.**.**.**:8080
弱口令账户,密码全为123456
liwei
lim
lijuan
wangjun
lili
wanghui
zhangb
yangjing
liuhui
wangjh
zih
lijian
yangyan
wjg
chenhua
lifeng
zhangjianguo
wangdong
zhangzq
liuyun
huangy
wanggx
yangling
lixiaohong
通讯录
工管系统等。。。。。
5、
**.**.**.** 企业生产计划统计管理系统 弱口令 sunps 123456
6、
http://**.**.**.**64 安全隐患排查系统 弱口令 libin 123456
7、多台华为SUG5530防火墙弱口令
**.**.**.** **.**.**.** **.**.**.**
弱口令admin Admin@123
这个危害有点大吧。。
8、
**.**.**.**:8080 中国铁建工程项目信息系统弱口令
123456789 123456
1 123456
7758521 123456
987654321 123456
lili 123456
yangling 123456
11 123456
andy 123456
9 123456
9、
http://**.**.**.**51:8080/ admin admin 蓝盾网页防篡改系统
威胁主站以及其它站点安全
中国铁建-CN
中非
铁城监理
铁建青年网
铁建财务
国际集团
中国铁建-EN
10、
人力资源系统apusic弱口令 http://**.**.**.**31:6890/admin/protected/index.jsp admin admin
11、其它
ftp弱口令
**.**.**.**6
**.**.**.** oracle 123456
**.**.**.**32 oracle oracle
隐患抽样系统 **.**.**.**/login.do?reqCode=init libin 123456
