安全基礎(chǔ)教育第一季：堡壘是從內(nèi)部攻破的

WindySky 2017-07-17

展開全文

處處留心皆學(xué)問

0x00. 背景：

技術(shù)團(tuán)隊第一忙于業(yè)務(wù)邏輯，第二大量新人涌入，會把過去大家在安全上栽的跟頭重新趟一遍，因此該做的培訓(xùn)咱還得做，該說的經(jīng)驗教訓(xùn)還得說，一次不行就兩次，兩次不行三次，重復(fù)再重復(fù)。

0x01. 堡壘是從內(nèi)部攻破的：

一次成功的入侵滲透，并不需要是什么高危漏洞，幾個普普通通的中等漏洞，搭配一次社會工程學(xué)行動，就可以搞定。

一個公司成千上萬人，往少里說也有 80% 的人安全意識淡薄，有耐心的攻擊者會盯好幾年，窮盡各種招數(shù)，沒有攻不進(jìn)去的堡壘。

員工無知者無畏

大多數(shù)員工都圖省事兒，公司郵箱以及其他內(nèi)部 IT 系統(tǒng)都用簡單密碼甚至空密碼，好些個知名 IT 系統(tǒng)也不對此做任何限制（甚至是專業(yè)企業(yè)級軟件制造商出品的IT系統(tǒng)）。

弱密碼遇到不設(shè)防的 IT 系統(tǒng)，對攻擊者來說真是福音。

案例一，烏云漏洞報告：重置某東任意內(nèi)部郵箱用戶密碼

漏洞提交時間：

2013-10-26

原理：

公司做得越來越大的時候，總會出現(xiàn)那么幾個安全意識薄弱的人員（俗稱豬一樣的隊友），他們往往會做出一些讓人無法理解的事情，比如：他會毫不猶豫地雙擊運行郵件內(nèi)的 EXE 附件，或者使用跟用戶名一樣的密碼，或者用戶名+當(dāng)前年份的密碼。

實施步驟：

1）通過社會工程學(xué)神器 theharvester 工具，和 baidu/google 搜索引擎，收集所有關(guān)于某東員工的信息；

2）找到了可用的登錄接口驗證口令，https://mail.....com/owa/auth/logon.aspx，某東的郵件服務(wù)使用了微軟的 Exchange 服務(wù)，并無驗證碼限制，可以直接 Fuzz；

注：Fuzz 指的是用隨機壞數(shù)據(jù)攻擊一個程序，然后等著觀察哪里遭到了破壞。

3）成功 Fuzz 出某個用戶的密碼，再結(jié)合 Exchange 的通訊錄功能，導(dǎo)出所有用戶名列表；

4）是的，現(xiàn)階段，你已經(jīng)擁有了所有某東員工的聯(lián)系信息列表。

重復(fù)使用 Fuzz 規(guī)則，測試后回顯找到了 2865 名員工的密碼，均為弱口令。

更有甚者，互聯(lián)網(wǎng)開發(fā)人員還會主動暴露自家機密。每家知名公司都有這么幾個沒心沒肺的人，在開源社區(qū)泄露源碼或敏感信息：

盛大某開發(fā)人員意識不足泄漏內(nèi)部郵箱賬號密碼（github）

迅雷某開發(fā)人員意識不足泄漏內(nèi)部郵箱賬號密碼（github）

一次成功的漫游京東內(nèi)部網(wǎng)絡(luò)的過程（由一個開發(fā)人員失誤導(dǎo)致）（github）

新浪開發(fā)人員安全意識不足導(dǎo)致部分源碼泄漏（googlecode）

騰訊多組內(nèi)部郵箱賬號密碼泄漏（github）

……幾乎每個大公司都報過這個漏洞。

開源社區(qū)暴露了郵箱用戶名密碼之后，又會怎么樣？后果很可怕。

案例二，烏云漏洞報告：一次成功地漫游某東內(nèi)部網(wǎng)絡(luò)的過程

漏洞提交時間：

2014-04-03

后果：

1）郵箱里找到了 VPN 登錄方式：

圖1 某東VPN郵件截圖

2）撥 VPN 登 3389 進(jìn)入堡壘機：

圖2 某東堡壘機登錄截圖

3）進(jìn)入堡壘機，看瀏覽器歷史記錄，找到了各種高大上的管理系統(tǒng)：

圖3 某東內(nèi)部各種應(yīng)用入口

4）還找到了執(zhí)行 SQL 刷庫的地方%#&……

圖4 某東執(zhí)行SQL的內(nèi)部界面

總結(jié)一下：

以 github 為首的版本控制信息泄漏：

由于 github 支持強大的搜索語法，可以很方便地搜索到一些常規(guī)搜索引擎無法搜索到的內(nèi)容，如搜索內(nèi)部項目、密碼、密鑰等。

還可以通過 github 來查找代碼安全問題，如輸入規(guī)則：extension:php mysql_query $_GET，可以搜索到大量包含 mysql_query $_GET 的請求，可以有針對性地進(jìn)行代碼審計。

當(dāng)你把自己的項目代碼上傳到 github 時，看看配置文件里是不是有不能說的秘密，思量一下后果。

運維配置暴露細(xì)節(jié)

生產(chǎn)環(huán)境配置不當(dāng)，加上開源系統(tǒng)層出不窮的漏洞，敏感信息輕輕松松泄露，經(jīng)?？拥姆?wù)有 Resin-doc、SVN、git……

案例三，烏云漏洞報告：某公司源碼泄露導(dǎo)致配置信息泄漏

漏洞提交時間：

2011年

原理：

Caucho Resin 是一款 Web 應(yīng)用服務(wù)器，它自帶一個 resin-doc app，這個破玩意兒在 Resin 3.0 上有一個漏洞，可以被當(dāng)成一個后門。

Resin 的某個 CGI 程序?qū)崿F(xiàn)上存在輸入驗證漏洞，遠(yuǎn)程攻擊者可能利用此漏洞讀取 Web 主目錄下的任意文件，包括 JSP 源碼或類文件。如果系統(tǒng)中安裝了 resin-doc 就可能讀取 Web 主目錄中的所有文件，包括類文件，然后可以反編譯這些文件瀏覽 Java 源代碼。

實施步驟：

2011年時，你可以訪問這樣的路徑：http://www.....com/resin-doc/viewfile/?file=index.jsp。

攻擊者可以設(shè)置 resin-doc 外的上下文路徑，讀取其他 Web 目錄的任意文件：http://localhost/resin-doc/viewfile/?contextpath=/otherwebapp&servletpath=&file=WEB-INF/web.xml。

如果運維不強制規(guī)范上線部署 Resin 時一律刪除 resin-doc app，那么類似的悲劇還會繼續(xù)發(fā)生，如：

搜狐網(wǎng)Resin配置漏洞，導(dǎo)致敏感信息泄露

優(yōu)酷多個安全漏洞集合（Resin配置信息泄露……）

愛奇藝Resin配置漏洞

因為你有可能部署一個低版本 Resin。

SVN 的隱藏目錄問題，各家也遇到過。

案例四，烏云漏洞報告：某財經(jīng)網(wǎng)某處SVN泄露

漏洞提交時間：

2014-11-19