挖洞经验 | 用Shodan发现IBM泄露日志信息并接管其第三方应用服务

访客4年前黑客资讯1261

本文中,作者通过利用Shodan以语法 Org:'ibm' tomcat 进行搜索,发现了IBM某个在线服务x.x.x.x中包含了大量敏感日志文件信息,通过这些日志信息,作者又发现了多个IBM在用的第三方服务登录凭据,进一步的漏洞利用可对这些应用服务实现完全的控制管理。

漏洞发现过程

如上,我用Shodan语法 Org:'ibm' tomcat 进行搜索,发现x.x.x.x中包含了大量IBM日志数据,其中涉及IBM公司大量雇员的Token口令和电子邮箱。

经检查,我发现其中的大量Token口令已经过期,但出于隐私和数据泄露考虑,这不应该曝露在网,于是我马上通过HackerOne进行了上报。但之后,他们的回复如下:

IBM方面需要切实的漏洞危害证明才能接收该上报漏洞问题,于是,我仔细查看了上述曝露在网的日志信息,对他们进行了收集整理,尝试从中发现深层次的隐患。

隐患发现

通过日志分析,我发现其中存在一个管理员才可以访问的URL路径,我点击它后会跳出提示“There is a missing token”,接着,我把该请求拿到了Burp中进行了测试。我在Burp请求内容中添加了一个名为“token”的字段内容,并给它赋了个随机值。请求发出后,响应回来的消息为“The token is invalid or expired”。很好,基于此,我就能判断这些日志数据中的“token”是否有效了。

凑巧的是,不负有心人,经过反复的发包测试,最终我发现了其中一个“token”仍然处于有效期,利用该“token”我可以轻而易举地获取到该雇员的相关信息:

之后,我又在日志数据中发现了大量IBM在用的AWS 和 Azure服务相关密钥信息:

就此打住吧。漏洞上报后,IBM方面也只好乖乖接收了。

在之后的分析中,我还发现IBM在用的敏捷开发服务Services DevOps Commander URL路径,经简单的口令猜测,发现其竟然是弱口令(admin/pass),之后,登录后即可控制其开发项目了:

在该项目管理系统中,我通过查看设置功能,还发现了如gitlab和jenkins等IBM在用的第三方服务登录凭据:

真的让我吃惊。

漏洞上报和处理进程

2020.7.21 漏洞上报
2020.7.22 漏洞分类
2020.12.8 漏洞修复

参考来源:medium,编译整理:clouds,转载请注明来自Freebuf.com

相关文章

南海里水怎么找外模价格表_迪妮莎公司

南海里水怎么找外模价目表 他喜爱在暗室里游逛,每每我开启铁笼时,他都是奔向门。我还在90年代中后期的一次静态数据航展上碰到了迪妮莎模特网的航空员。我以前曾在这儿贴过一个贴子,但从数据上看来, 我或许...

零基础黑客看什么书(黑客术语基础)-什么部门能抓到黑客

零基础黑客看什么书(黑客术语基础)-什么部门能抓到黑客

零基础黑客看什么书(黑客术语基础)(tiechemo.com)一直致力于黑客(HACK)技术、黑客QQ群、信息安全、web安全、渗透运维、黑客工具、找黑客、黑客联系方式、24小时在线网络黑客、黑客业务...

黑客在线接单电话是多少呢?黑客接单联系怎么做

老董坐在河北邢台的家里,匆匆吃着早饭。 他身边的电脑指示灯在昏暗的光线下一明一灭。电脑的硬盘被老董用数据线连接到了机箱之外,像一个吊瓶一样摆在桌上,在嗡嗡作响的硬盘旁边,是一把漆黑的铁锤。...

廉租住房保障办法(廉租住房保障办法最新)

12月18日徐州市传来消息,为促进廉租住房制度建设,逐步解决城市低收入家庭的住房困难,徐州市正式出台了《徐州廉租住房保障新办法》,新《办法》的。 申请条件:1、申请人具有5年以上当地城市常住户口;2...

乌兹别克斯坦累计确国家安全局证件诊近5.9万例 专家称将新增

  (抗击新冠肺炎)乌兹别克斯坦累计确诊近5.9万例 专家称将新增45万贫困人口   中新社努尔苏丹10月5日电 塔什干消息:截至当地时间10月5日,乌兹别克斯坦已累计确诊新冠肺炎病例58859例。...

黑客攻击虚假消息(黑客假冒你发送邮件是攻击)

黑客攻击虚假消息(黑客假冒你发送邮件是攻击)

本文目录一览: 1、现在有很多虚假网站的黑客攻击我们网站窃取顾客信息给您发假货,到时 2、为什么詹姆斯和女明星惨遭黑客勒索,不给钱就拍卖他们的个人隐私? 3、黑客的入侵手段~~ 4、黑客最...