挖洞经验 | 用Shodan发现IBM泄露日志信息并接管其第三方应用服务

访客4年前黑客资讯1265

本文中,作者通过利用Shodan以语法 Org:'ibm' tomcat 进行搜索,发现了IBM某个在线服务x.x.x.x中包含了大量敏感日志文件信息,通过这些日志信息,作者又发现了多个IBM在用的第三方服务登录凭据,进一步的漏洞利用可对这些应用服务实现完全的控制管理。

漏洞发现过程

如上,我用Shodan语法 Org:'ibm' tomcat 进行搜索,发现x.x.x.x中包含了大量IBM日志数据,其中涉及IBM公司大量雇员的Token口令和电子邮箱。

经检查,我发现其中的大量Token口令已经过期,但出于隐私和数据泄露考虑,这不应该曝露在网,于是我马上通过HackerOne进行了上报。但之后,他们的回复如下:

IBM方面需要切实的漏洞危害证明才能接收该上报漏洞问题,于是,我仔细查看了上述曝露在网的日志信息,对他们进行了收集整理,尝试从中发现深层次的隐患。

隐患发现

通过日志分析,我发现其中存在一个管理员才可以访问的URL路径,我点击它后会跳出提示“There is a missing token”,接着,我把该请求拿到了Burp中进行了测试。我在Burp请求内容中添加了一个名为“token”的字段内容,并给它赋了个随机值。请求发出后,响应回来的消息为“The token is invalid or expired”。很好,基于此,我就能判断这些日志数据中的“token”是否有效了。

凑巧的是,不负有心人,经过反复的发包测试,最终我发现了其中一个“token”仍然处于有效期,利用该“token”我可以轻而易举地获取到该雇员的相关信息:

之后,我又在日志数据中发现了大量IBM在用的AWS 和 Azure服务相关密钥信息:

就此打住吧。漏洞上报后,IBM方面也只好乖乖接收了。

在之后的分析中,我还发现IBM在用的敏捷开发服务Services DevOps Commander URL路径,经简单的口令猜测,发现其竟然是弱口令(admin/pass),之后,登录后即可控制其开发项目了:

在该项目管理系统中,我通过查看设置功能,还发现了如gitlab和jenkins等IBM在用的第三方服务登录凭据:

真的让我吃惊。

漏洞上报和处理进程

2020.7.21 漏洞上报
2020.7.22 漏洞分类
2020.12.8 漏洞修复

参考来源:medium,编译整理:clouds,转载请注明来自Freebuf.com

相关文章

查肝肾功能多少钱,肝肾功能检查项目多少钱

  肝肾成果查抄,是要抽血查抄的,是要用度空腹抽血的。这个就是生化查抄,一般在几十元钱,假如是生化全套的,要200元钱阁下。   按照差异的查抄项目用度差异,若是通例的肝肾成果的查抄,如肝成果八项,尿...

存款计算器,职场小白计算器!

存款计算器,职场小白计算器!

1万块钱存一年利息是多少? 每个月的15号是大部分公司发薪水的日子,看看口袋的钱包,银行卡的数字,好像超过1万块钱了,那么1万块钱如果存在银行,利息是多少呢? 我们来算算(央行公布的最新存款利率表...

什么是信念(坚信自己值得最好的)

什么是信念(坚信自己值得最好的) 我认为我是为最高级的社会和最漂亮的女人而生的,我强烈地盼望这两种东西,而且配得上它们。” 两百多年前,法国著名作家司汤达的自白,道出了一个野心勃勃的青年的渴望。他...

geek type,怎么联系到黑客,想找个黑客找老公微信聊天记录

1.Access数据库的存储危险妹纸:先生咱们这儿环境很不错吧。 region.save(pic_text_path)域名whois被维护,服务器没有其他网站,客服QQ查库无信息,莫非...

云菲菲资料(云菲菲的个人基本资料简介)

云菲菲资料(云菲菲的个人基本资料简介) 云菲菲凭借《小小新娘花》、《这条街》等多首歌曲而深受歌迷的喜爱和认可,下面小编将为大家介绍云菲菲的详细个人资料。云菲菲,1985年2月11日出生于安徽淮南...

自学黑客的软件(黑客自学网站)-24小时在线的网络黑客微信

自学黑客的软件(黑客自学网站)-24小时在线的网络黑客微信

自学黑客的软件(黑客自学网站)(tiechemo.com)一直致力于黑客(HACK)技术、黑客QQ群、信息安全、web安全、渗透运维、黑客工具、找黑客、黑客联系方式、24小时在线网络黑客、黑客业务、黑...