中国铁建内网漫游沦陷多个重要部门泄漏大量信息(redis+ssh-keygen免认证登录案例)...
IP: **.**.**.** 中国铁建蓝信系统
该服务器开放了 6379端口也就是redis默认的端口了,未授权访问,直接远程连接
然后此时一般的思路就是找到网站物理路径,然后通过备份拿到webshell,然而这个站点的物理路径并没有找到,但是端口扫描发现该服务器开放了ssh22端口,于是可以通过问题描述里连接的方法拿到shell了,
首先通过ssh-keygen生成private和public密钥。然后将生成的public密钥拷贝到远程机器后,就可以使用ssh登录到远程机器上去而不要密码。
上图,红色圈内表示生成的公钥。我们只需要将这个公钥上传到目标服务器的“/root/.ssh/”目录并重命名为authorized_keys。做好了后,我们就可以直接登录目标服务器了,不需要输入用户名和密码。
但是怎么通过redis拷贝文件过去呢?其实只需把id_rsa.pub里的内容复制过去就行了。具体看图。
首先看看id_rsa.pub里的内容
我们只需把这些内容想备份一句话***的形式备份到/root/.ssh/目录下就行了,当然备份的名字得改为uthorized_keys,如图,最好在公钥内容的前面和后面都加上一点空格和回车,不然貌似数据库的其它内容会造成影响。
code 区域
PS(然后发现其实我不是第一个进来的了,,因为之前就发现文件备份的位置和名字都已经是上图那样了,而且下图是之前的公钥内容,我进来才替换的,完全是跟着上面那篇外国人写的文章做的,后来测试时,公钥又被换回去了。很不爽没法继续。于是擅自给redis数据库设了个密码为hamapi 所以不要打我。。。)redis设置密码 config set requirepass test123查询密码 config get requirepass
通过save命令保存后,直接ssh远程即可登录了,无需密码,如图
漏洞证明:
既然有了ssh,而且在内网还是root权限,不继续怎么能行呢?
通过ssh建立一个socket5连接,本地再通过配置proxychains就可以继续内网***了
ssh建立socke5连接 ssh -f -N -D **.**.**.**:7777 root@**.**.**.**
接下来就扫描内网段,信息收集,再结合乌云上已经爆出的铁建的帐号密码扫弱口令了
简单测试了下,直接上结果
1、首先跳板服务器mysql帐号密码泄漏,而且还允许外联,泄漏大量信息
**.**.**.** mysql帐号lanxin 密码crcc_t20150428
2、仍有多台linux服务器装有redis且都为空口令导致可按同样方法远程ssh,如图
受影响服务器
code 区域
**.**.**.**: 6379**.**.**.**: 6379**.**.**.**: 6379**.**.**.**: 6379**.**.**.**: 6379**.**.**.**: 6379
3、
code 区域
**.**.**.** tomcat弱口令 admin admin 服务器沦陷
4、
code 区域
**.**.**.**40 admin 123456
海康威视摄像头,没装插件,看不见了,。。
5、
code 区域
中国铁建协同管理系统 **.**.**.**:8080弱口令账户,密码全为123456liweilimlijuanwangjunliliwanghuizhangbyangjingliuhuiwangjhzihlijianyangyanwjgchenhualifengzhangjianguowangdongzhangzqliuyunhuangywanggxyanglinglixiaohong
通讯录
工管系统等。。。。。
5、
code 区域
**.**.**.** 企业生产计划统计管理系统 弱口令 sunps 123456
6、
code 区域
http://**.**.**.**64 安全隐患排查系统 弱口令 libin 123456
7、多台华为SUG5530防火墙弱口令
code 区域
**.**.**.** **.**.**.** **.**.**.**弱口令admin Admin@123
这个危害有点大吧。。
8、
code 区域
**.**.**.**:8080 中国铁建工程项目信息系统弱口令123456789 123456
1 123456
7758521 123456
987654321 123456
lili 123456
yangling 123456
11 123456
andy 123456
9 123456
9、
code 区域
http://**.**.**.**51:8080/ admin admin 蓝盾网页防篡改系统
威胁主站以及其它站点安全
中国铁建-CN
中非
铁城监理
铁建青年网
铁建财务
国际集团
中国铁建-EN
10、
code 区域
人力资源系统apusic弱口令 http://**.**.**.**31:6890/admin/protected/index.jsp admin admin
11、其它
ftp弱口令
**.**.**.**6
**.**.**.** oracle 123456
**.**.**.**32 oracle oracle
隐患抽样系统 **.**.**.**/login.do?reqCode=init libin 123456
转载于:https://blog.51cto.com/qiudays/1728533
中国铁建内网漫游沦陷多个重要部门泄漏大量信息(redis+ssh-keygen免认证登录案例)...相关推荐
- 内网漫游(lateral movement)的破解之道
目录 什么是"内网漫游"(lateral movement)? 第1步:攻击用户 第2步:抓取本地管理员的密码哈希 第3步:找到已登录的域管理员 如何预防内网漫游攻击? 安装LAP ...
- 记录一次【模仿真实环境】的内网漫游
一阶段. 信息收集: 通过NMAP进行端口扫描 发现网站开放了80,443,700,8080端口 80端口下存在web服务 :Foosun DotNetCMS 2.0 网站为IIS搭建的aspx站 ...
- 内网安全-域横向内网漫游Socks代理隧道技术
因为是两个局域网 当你用kali生成一个后门文件放到目标主机 设置后门的反弹地址时,设置为你的外网地址时,后们会将信息反弹到你的路由器上 设置为内网地址时,又找不到你 案例 1-内网穿透 Ngrok ...
- 内网安全学习(六)—域横向-内网漫游: Socks 代理
内网安全-域横向内网漫游 Socks 代理隧道技术 1.前置知识: 1)正向与反向连接: 正向就是你去连接被控主机,但由于机器处于内网内,分配的内网ip,无法直接找到,所以需要方向连接,即让主机连接我 ...
- 安全攻防 | 内网漫游之SOCKS代理总结
## 0x01引言 ## 在实际渗透过程中,我们成功入侵了目标服务器.接着我们想在本机上通过浏览器或者其他客户端软件访问目标机器内部网络中所开放的端口,比如内网的3389端口.内网网站8080端口等等 ...
- 【内网安全】域横向内网漫游Socks代理隧道技术
代理技术和隧道技术都属于内网穿透,代理主要解决内网里面通信的问题(比如对方在内网,你也在内网,这时候两个内网实现通信就必须要经过代理才能实现,常见工具有frp.ngrok和ew等,ew(earthwo ...
- CFS 三层内网漫游安全测试演练
CFS 三层内网漫游安全测试演练 环境配置 演练 环境配置 靶场环境: 靶场虚拟机下载:https://pan.baidu.com/s/1O9pgm9UZCSIdifMEb0E9ZA#list/pat ...
- 对微信卖小电影的一次内网漫游
前几天看到某个微信卖小电影的,然后通过套路拿到拿到对方电脑控制权以后,对他内网进行了一次漫游,特地给各位大佬分享下过程. 本文作者:i春秋作家--jasonx 另外各位表哥,如果你感觉文章还不错,动动 ...
- js获取内网ip地址,操作系统,浏览器版本等信息
这次呢,说一下使用js获取用户电脑的ip信息,刚开始只是想获取用户ip,后来就顺带着获取了操作系统和浏览器信息. 先说下获取用户ip地址,包括像ipv4,ipv6,掩码等内容,但是大部分都要根据浏览器 ...
最新文章
- python代码示例下载-Python下载网易云歌单歌曲的示例代码
- python xpath语法-【python】爬虫: lxml解析库、XPath语法详解
- (原創) 如何对array或struct做初始化? (memset()) (C/C++) (C)
- skywalking(2)
- 著作权法(1分)18年5月考1分的概率大
- JMockit常用操作
- testlink php nginx,linux环境部署testlink步骤说明
- 解决过拟合现象的六种姿势
- 如何在ArcGIS中由县级数据生成省级数据?
- 苹果手机上编辑html文件夹,苹果手机可以编辑EXCEL文件吗
- Java8中关于LocalDateTime转换方法总结
- [附源码]java毕业设计疫情防控期间人员档案追寻系统设计与实现论文
- 高并发之阿里云弹性伸缩的使用记录
- 关于Android蓝牙设备的连接使用
- apahce2+tomcat6整合 2010-06-28
- java聊天室报告ppt_基于JavaWeb聊天室设计与实现毕业论文+任务书+中期表+中期报告+项目源码+数据库+答辩PPT...
- 按键精灵curl、FTP、zip、sha1算法、下载文件、上传文件、蓝奏云api、压缩解压文件支持 安卓、IOS
- EVPN中ESI与EVI的区别
- 红帽linux预热剑,Linux系统下的剑动秋寒Bootloader详解
- 1.简述一个Activity跳转到另一个Activity时,两个Activity生命周期方法的执行过程。2.编写一个程序,要求在第一个界面中输入两个数字,在第二个界面显示第一个界面两个数字的和。