IP: **.**.**.** 中国铁建蓝信系统

该服务器开放了 6379端口也就是redis默认的端口了，未授权访问，直接远程连接

然后此时一般的思路就是找到网站物理路径，然后通过备份拿到webshell，然而这个站点的物理路径并没有找到，但是端口扫描发现该服务器开放了ssh22端口，于是可以通过问题描述里连接的方法拿到shell了，

首先通过ssh-keygen生成private和public密钥。然后将生成的public密钥拷贝到远程机器后，就可以使用ssh登录到远程机器上去而不要密码。

上图，红色圈内表示生成的公钥。我们只需要将这个公钥上传到目标服务器的“/root/.ssh/”目录并重命名为authorized_keys。做好了后，我们就可以直接登录目标服务器了，不需要输入用户名和密码。

但是怎么通过redis拷贝文件过去呢？其实只需把id_rsa.pub里的内容复制过去就行了。具体看图。

首先看看id_rsa.pub里的内容

我们只需把这些内容想备份一句话***的形式备份到/root/.ssh/目录下就行了，当然备份的名字得改为uthorized_keys，如图，最好在公钥内容的前面和后面都加上一点空格和回车，不然貌似数据库的其它内容会造成影响。

code 区域

PS(然后发现其实我不是第一个进来的了，，因为之前就发现文件备份的位置和名字都已经是上图那样了，而且下图是之前的公钥内容，我进来才替换的，完全是跟着上面那篇外国人写的文章做的，后来测试时，公钥又被换回去了。很不爽没法继续。于是擅自给redis数据库设了个密码为hamapi   所以不要打我。。。)redis设置密码 config set requirepass test123查询密码 config get requirepass

通过save命令保存后，直接ssh远程即可登录了，无需密码，如图

漏洞证明：

既然有了ssh，而且在内网还是root权限，不继续怎么能行呢？

通过ssh建立一个socket5连接，本地再通过配置proxychains就可以继续内网***了

ssh建立socke5连接 ssh -f -N -D **.**.**.**:7777 root@**.**.**.**

接下来就扫描内网段，信息收集，再结合乌云上已经爆出的铁建的帐号密码扫弱口令了

简单测试了下，直接上结果

1、首先跳板服务器mysql帐号密码泄漏，而且还允许外联，泄漏大量信息

**.**.**.** mysql帐号lanxin 密码crcc_t20150428

2、仍有多台linux服务器装有redis且都为空口令导致可按同样方法远程ssh，如图

受影响服务器

code 区域

**.**.**.**: 6379**.**.**.**: 6379**.**.**.**: 6379**.**.**.**: 6379**.**.**.**: 6379**.**.**.**: 6379

3、

code 区域

**.**.**.**  tomcat弱口令  admin  admin  服务器沦陷

4、

code 区域

**.**.**.**40  admin  123456

海康威视摄像头，没装插件，看不见了，。。

5、

code 区域

中国铁建协同管理系统  **.**.**.**:8080弱口令账户，密码全为123456liweilimlijuanwangjunliliwanghuizhangbyangjingliuhuiwangjhzihlijianyangyanwjgchenhualifengzhangjianguowangdongzhangzqliuyunhuangywanggxyanglinglixiaohong

通讯录

工管系统等。。。。。

5、

code 区域

**.**.**.**  企业生产计划统计管理系统  弱口令 sunps  123456

6、

code 区域

http://**.**.**.**64   安全隐患排查系统  弱口令  libin  123456

7、多台华为SUG5530防火墙弱口令

code 区域

**.**.**.**  **.**.**.**  **.**.**.**弱口令admin Admin@123

这个危害有点大吧。。

8、

code 区域

**.**.**.**:8080 中国铁建工程项目信息系统弱口令123456789 123456

1 123456

7758521 123456

987654321 123456

lili 123456

yangling 123456

11 123456

andy 123456

9 123456

9、

code 区域

http://**.**.**.**51:8080/  admin  admin  蓝盾网页防篡改系统

威胁主站以及其它站点安全

中国铁建-CN

中非

铁城监理

铁建青年网

铁建财务

国际集团

中国铁建-EN

10、

code 区域

人力资源系统apusic弱口令  http://**.**.**.**31:6890/admin/protected/index.jsp  admin   admin

11、其它

ftp弱口令

**.**.**.**6

**.**.**.** oracle 123456

**.**.**.**32 oracle oracle

隐患抽样系统 **.**.**.**/login.do?reqCode=init libin 123456