首页 > 代码库 > 从乌云看运维安全那点事儿

从乌云看运维安全那点事儿

本文转自乌云知识库

0x00 背景


运维安全属于企业安全非常重要的一环。

这个环节出现问题,往往会导致非常严重的后果。

本文从乌云上提交的近2000个运维方面的漏洞总结了一下经常出问题的点。

希望各位看完之后能够有所收获~!

 

目前已经总结的问题有:

struts漏洞Web服务器未及时打补丁,有解析漏洞PHP-CGI RCEFCK编辑器server-status信息泄露网站备份文件放在web目录,可被下载列目录导致可看到敏感数据并查看snmp信息泄露weblogic弱口令SVN信息泄露域传送漏洞Rsynchadoop对外nagios信息泄露ftp弱口令或支持匿名访问导致信息泄露RTX泄露信息Ganglia信息泄露j2ee应用架构开始占主流,典型的web服务器搭配配置失误Jenkins平台没有设置登录验证zabbixzenoss监控系统Resin文件读取memcache未限制访问IPJBoss问题测试服务器外网可访问padding oracle attack用户名密码放在服务器上……其他

0x01 现状


1、使用开源或商业产品出现漏洞时,未及时打补丁

struts漏洞

乌云上最火的莫过于struts的漏洞了,各大互联网厂商都未幸免。

http://www.wooyun.org/searchbug.php?q=struts

enter image description here

由于struts太多就不列举了~!

Web服务器未及时打补丁,有解析漏洞

关于解析漏洞的总结,有一篇比较详细的文章

http://www.cnseay.com/806/

这类漏洞的危害还是非常大的,只要用户可控一个文件。

不管后缀,上传到服务器web目录下,即可控制服务器。

下面只列举了一乌云上小部分的解析漏洞:

WooYun: tom在线某分站nginx解析漏洞配合上传可webshell

WooYun: 江民论坛IIS7.5解析漏洞

WooYun: 支付宝官方Blog解析漏洞

WooYun: 小米某分站nginx解析错误+路径泄漏

WooYun: VeryCD某站nginx解析漏洞

PHP-CGI RCE

php cgi远程任意代码执行漏洞。

这个CVE的讨论详见:http://zone.wooyun.org/content/151

这种配置很少会出现,所以以为不会产生太大影响,但是……

WooYun: 某IDC存在PHP-CGI漏洞,可导致数万网站被黑

WooYun: 多家单位深信服SSL VPN远程代码执行漏洞(补丁不及时)

FCK编辑器

老版本有上传漏洞,可上传webshell。

WooYun: 广东东莞整个xxxxxxx.dg.gov.cn整个段的WEB,shell

WooYun: UC商城管理后台再次沦陷

WooYun: 搜狐某分站后续测试,可进服务器

2、信息泄露

server-status信息泄露

Apache设置不严,暴露server-status

Apache Server Status的配置:

http://www.ccvita.com/333.html

如果这个页面对公网开放,就会存在一些安全隐患。

例如任何人口可以看到谁在访问网站,甚至包括一些本来隐藏的管理页面。

WooYun: apache官网存在由于apache配置不当引起的轻度信息泄漏

WooYun: 新浪几处敏感信息暴露

网站备份文件放在web目录,可被下载

这类问题会导致源代码泄露,可能会导致进一步渗透。

WooYun: IT168某子站备份源玛

WooYun: 新浪Show旧版数据未清除,泄露20多个数据库..等敏感信息

WooYun: 新浪漏洞系列第一弹-整站源代码可下载漏洞

WooYun: 返利多官网管理以及用户数据库泄漏!

WooYun: OPPO用户中心源码泄露后的噩梦 600W用户敏感信息&明文密码

列目录导致可看到敏感数据并查看

列目录的问题说大不大,说小不小,具体还是看具体的场景了。

WooYun: [大型互联网系列之四]搜狗某站点开发人员安全意识不足,泄漏数据库配置文件

WooYun: 广东移动目录浏览漏洞,可查看用户发送彩信内容和图片

WooYun: 新网某服务器配置不严格,导致大量用户身份证及企业营业执照信息泄露

WooYun: 杭州电信某系统目录暴露,导致30000余宽带帐号等敏感信息全暴!

snmp信息泄露

这个具体可以看如下链接,分析与例子都列举出了:

http://drops.wooyun.org/tips/409

weblogic弱口令

这个具体可以看如下链接,分析与例子都列举出了:

http://drops.wooyun.org/tips/402

SVN信息泄露

这个具体可以看如下链接,分析与例子都列举出了:

http://drops.wooyun.org/tips/352

域传送漏洞

这个具体可以看如下链接,分析与例子都列举出了:

http://drops.wooyun.org/papers/64

Rsync

这个具体可以看如下链接,分析与例子都列举出了:

http://drops.wooyun.org/papers/161

hadoop对外

WooYun: 新浪漏洞系列第六弹-大量hadoop应用对外访问

hadoop有的版本可配合此漏洞来执行命令:

WooYun: Apache Hadoop远程命令执行

nagios信息泄露

WooYun: 新浪漏洞系列第五弹-sina nagios信息泄露漏洞

ftp弱口令或支持匿名访问导致信息泄露

WooYun: TOM在线几十G的网站源文件暴露,重不重要啊?

WooYun: 盛大在线某应用mysql数据库架构及几十G的备份数据暴露,也不知道要不要紧?

WooYun: 多玩PayService应用暴露

WooYun: 新浪某服务器FTP弱口令导致部分几个主站的源代码泄露

WooYun: 中国联通分站匿名FTP目录遍历,泄露数据库、WEB配置文件

WooYun: 搜狗敏感信息泄漏一箩筐

WooYun: 中国移动各地暴露黄色预警,其中重庆、贵阳等系统暴露较为严重,局部地区暴露也不容忽视

使用lampp套装,使用其默认ftp密码

nobody:lampp

WooYun: 庆光棍佳节到临——华为某服务配置不到导致shell1

RTX泄露信息

WooYun: 唯品会某应用接口信息暴露,容易被敌人打入内部!

WooYun: 凑热闹,rtx读取任意用户手机号

Ganglia信息泄露

WooYun: 蘑菇街Ganglia信息泄露!

WooYun: 陌陌ganglia集群系统监视软件泄露系统信息

j2ee应用架构开始占主流,典型的web服务器搭配配置失误

WEB-INF目录可web访问:

WooYun: 百度某应用beidou(北斗)架构遍历!

WooYun: 去哪儿任意文件读取(基本可重构该系统原工程)

WooYun: 乐视网众多web容器配置失误,导致核心应用架构及敏感信息暴露

WooYun: 腾讯某站点源代码泄漏

WooYun: [大型互联网系列之七]优酷某站点配置不当,可获取敏感信息!

Jenkins平台没有设置登录验证

利用方式:

http://ip/script

执行脚本并回显其实可以直接一句话就搞定

java.lang.Runtime.getRuntime().exec(‘id‘).getText();

WooYun: 奇艺某系统未授权访问可执行任意命令

WooYun: 人人网一处自动化测试平台可被渗透

WooYun: 网易某系统未授权访问可导致内网被渗透

zabbix

admin/zabbix 默认账户密码能登录

WooYun: 弱口令引发的血案之音悦台zabbix沦陷篇

WooYun: sohu的zabbix,可导致内网渗透

WooYun: memcached未作IP限制导致缓存数据可被攻击者控制

WooYun: 网易zabbix运维不当,导致任意命令执行。(可提权、可内网渗透)

zenoss监控系统

默认密码没有改:admin/zenoss

WooYun: 从一个默认口令到youku和tudou内网(危害较大请尽快修复)

Resin文件读取

Resin v3.0.19以及以上的不受影响,以下的受影响。

WooYun: [大型互联网系列之五]搜狐某分站任意文件读取+一些敏感信息

WooYun: 酷六任意文件读取

WooYun: 凤凰网任意文件读取两枚

WooYun: 百合网从Resin文件读取到webshell

memcache未限制访问IP

WooYun: memcached未作IP限制导致缓存数据可被攻击者控制

WooYun: "逛"网memcached未作IP限制造成cache泄露

WooYun: 圆通wap分站memcache没做ip限制

JBoss问题

JBoss问题可以来此看看:

http://drops.wooyun.org/papers/178

具体实例:

WooYun: 电信jboss 配置不当

WooYun: 中国电信网上营业厅某分站 JBoss配置不当造成远程代码执行

WooYun: 中国联通浙江省公司JBOSS未授权访问

WooYun: 顺丰某后台服务器沦陷

测试服务器外网可访问

WooYun: DOSPY测试服务器信息泄漏,可能导致主站被入侵.

WooYun: UC某测试服务器漏洞存在被渗透的风险

WooYun: 新浪微博测试服务器信息泄漏

padding oracle attack

WooYun: 内蒙古移动【短彩连连发】敏感信息泄露

WooYun: 唯品会某处存在文件读取漏洞(padding oracle实际利用)

用户名密码放在服务器上……

WooYun: 某IDC密码设置不当

其他

还有各种tomcat,phpmyadmin弱口令等,均可能成为突破点。

WooYun: Cisco网络设备低版本IOS未授权访问并可以提权

WooYun: Varnish HTTP accelerator CLI 未授权访问易导致网站被直接篡改或者作为代理进入内网

WooYun: Oracle-Sun公司oracle默认口令导致主机沦陷

WooYun: 起点中文网MongoDB配置错误导致账户密码泄漏

各种敏感管理后台对外:

WooYun: forum.open.weibo.com用户数据库泄露

WooYun: 盛大在线运维平台对外开放

WooYun: [大型互联网系列之一]百度某后台访问未限制,泄漏业务信息!

WooYun: [大型互联网系列之二]人人网某站点泄露大量员工信息,包括员工电话以及业务信息

WooYun: [大型互联网系列之六]网易某服务后台泄漏,造成可任意删除分类信息、添加敏感词。

WooYun: 中国电信某系统功能暴露,导致690000余宽带帐号等信息暴露!

0x02 后续


最后引用zone社区某人的话:

“渗透一定意义上是人与人的较量,所以呢,如果你现在月薪5000那么去黑掉一个大家伙的时候应该从月薪2000的地方入手,譬如前台,运营,客服,hr,公关之类的为佳,找程序的入口也应该找实习生开发的,找外包的...... 请谨慎想象。”

运维安全一点一滴积累起来的,千万不可大意~!

千里之堤毁于蚁穴~!

从乌云看运维安全那点事儿