Wiki一詞來源于夏威夷語的“wee kee wee kee”, 是一種多人協作的寫作工具。在大型互聯網企業(如騰訊、360、小米)的業務線中筆者都有遇見過他們的身影,而其常被用作介紹業務功能的說明書以及內部項目工作協同平臺。目前常見且使用率較高的WiKi程序有Miediawiki、DoKuWiKi、HDWiki等,但由于這些程序平時受到關注度不足,程序存在很多設計上面的缺陷并沒有被公開和修復,很多甚至足以可以導致服務器被輕松getshell,使其成為互聯網企業信息安全的一顆“隱形炸彈”。本文將著重介紹滲透第三方Wiki程序常用的思路,然后附上攻擊兩個被廣泛使用WiKi系統的Expolit和實例危害證明,最后給出解決方案。
1)使用百度或者是谷歌等搜索引擎,關鍵詞”site:XXXX.com inurl:wiki”,可以輕松獲取很多目標,
2)使用子域名爆破工具,批量收集企業子域名,然后分離出wiki站點
不同品牌的Wiki程序的滲透方式略為不同,大型互聯網企業常用的Wiki程序有兩個:Mediawiki和Dokuwiki,這兩個程序都可以通過技巧快速搜集到管理員的用戶名,然后通過沒有限制登錄次數以及驗證碼的登錄頁面爆破弱口令進入系統,下面分別做介紹:
滲透Mediawiki系統思路: 如果你看到地址欄中有如下結構的wiki程序,那一定就是Meidawiki沒錯了,接下來您只需要三步就能滲透進入目標了:
Step1: 通過MediaWiki默認攜帶的搜索功能查找,搜索“用戶創建日志”,MediaWiki系統中的用戶列表: Expolit:http://www.xxx.com/index.php?title=%E7%89%B9%E6%AE%8A%3A%E6%97%A5%E5%BF%97&type=newusers&user=&page=&year=&month=-1
Step2: 通過MediaWiki默認攜帶的搜索功能,搜索“權限變更日志”,幫助我們快速分離出系統中的管理員進一步獲得用戶名: Expolit: http://www.xxx.com/index.php?title=%E7%89%B9%E6%AE%8A%3A%E6%97%A5%E5%BF%97&type=rights&user=&page=&year=&month=-1
Step3: MediaWiki系統默認登錄入口,沒有任何次數驗證和驗證碼,所以最后一步就是直接載入之前用戶名和字典進行弱口令爆破: Expolit: http://www.xx.com/index.php?title=Special:UserLogin
如果運氣好的話管理員存在常見弱口令就可以登錄后臺,修改WiKi的內容,由于MediaWiki管理員后臺上傳權限并不高,并不能上傳php文件,getshell可能有些困難,不過現在您已經足以可以修改整個企業業務介紹網站的內容了,這些業務以企業重點開放平臺居多,影響已經足夠大了。
滲透DokuWiki系統思路
如果您看到下面UI風格的WIKI程序,那它就是Dokuwiki沒錯了,接下來只需要三步就能滲透進入目標了。值得注意的是,因為Dokuwiki后臺的設計缺陷,只要能夠登錄管理員賬戶就意味著可以getshell接著滲透內網:
Step1: 查找DoKuWiki系統中用戶列表:
在Dokuwiki的媒體管理器中,每一個文件修訂歷史中明確羅列了系統中存在的用戶和用戶名
Expolit: http://www.xxx.com/doku.php?id=start&do=media&ns=
在Dokuwiki的Wiki修訂歷史中,也可以輕松收集到系統中用戶的蛛絲馬跡
Expolit: http://www.xxx.com/doku.php?id=start&do=revisions
有些WIKI系統甚至直接開放了注冊的權限,你甚至可以嘗試通過下面的Expolit鏈接注冊一個用戶,試著進入企業WIKI系統內部
Expolit: http://www.xxx.com/doku.php?id=start&do=register
Step2: 查找DoKuWiki系統默認登錄入口,同樣沒有任何次數驗證和驗證碼,所以直接載入之前用戶名和字典進行弱口令爆破,Doku的默認登錄入口
http://www.xxx.com/doku.php?id=start&do=login
Step3:登錄管理后臺,利用Dokuwiki的插件管理功能Getshellhttp://www.xxx.com/doku.php?id=start&do=admin&page=extension
[例一] 某Dokuwiki系統管理員弱口令,直入后臺getshell 白帽子發現某DokuWiki系統的管理員存在弱口令,登錄以后,直接通過上文滲透Dokuwiki思路中提到的進入插件管理界面成功getshell到了服務器的權限。
[例二] 網易某內部門戶WIKI未設置注冊權限驗證,直接注冊用戶竊取內部信息 筆者曾通過百度搜索引擎發現網易內部WIKI系統對外,并且開放了注冊功能,只要通過自己的郵箱注冊就可以成功獲取賬號登錄進入該系統,獲得了少量的內部信息,因為做了一定的防護,對用戶組權限進行了隔離,所以筆者并沒有獲得更高級別的權限。
其實第三方開源Wiki的漏洞有點類似于之前很火的Wordpress和Discuz后臺弱口令漏洞,很顯然,目前前面提到的兩個類型的第三方建站系統已經被給與了足夠的重視,而目前Wiki系統卻并沒有。只要在開發完成以后對對默認的登錄和注冊頁面進行刪除或者修改名稱,企業后端WAF進行訪問限制配置,同時強化員工安全意識,杜絕弱口令,就能有效防止企業Wiki系統被攻擊者滲透,從而喪失服務器的最高權限。
使用第三方開源WIKI作為內部協同平臺時應特別注意對每個頁面設置權限以及嚴格限制外部用戶注冊系統的用戶。
3.GitBook 是一個基于 Node.js 的命令行工具,可使用 Github/Git 和 Markdown 來制作精美的電子書,如果產品需要做說明介紹的話,完全可以用Gitbook替代這些第三方Wiki,不失Wiki的美觀和簡潔方便。
