当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-084115

漏洞标题:一封钓鱼邮件引发的爆菊血案(论企业员工安全意识培训的重要性)

相关厂商:CERT

漏洞作者: loli

提交时间:2014-11-21 14:19

修复时间:2015-01-17 01:12

公开时间:2015-01-17 01:12

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-11-21: 细节已通知厂商并且等待厂商处理中
2014-11-26: 厂商已经确认,细节仅向厂商公开
2014-12-06: 细节向核心白帽子及相关领域专家公开
2014-12-16: 细节向普通白帽子公开
2014-12-26: 细节向实习白帽子公开
2015-01-17: 细节向公众公开

简要描述:

包括新浪,京东,豌豆荚,人民银行,兴业银行,上海市局等互联网、国企央企内部员工邮件登陆信息泄露。

详细说明:

某日,公司前台反映收到一封提示OA需要升级,需要用户填写OA登陆账号密码等信息。如图:

test.png


查看元素代码发现中间有个跳转代码,利用了51job进行了跳转:

href="http://fans.51job.com/QVniqi" name="_=&quot;true&quot;" target="_blank">请点这里进行升级</a></p></td></tr></tbod


访问该地址后直接到http://admin.oa.ems.scjc.net.cn,该页面模仿的是exchange的页面风格,导致很多非技术类的用户信以为真。如图:

test1.png


使用一句话插进服务器:

test3.png


部分企业的登陆信息有亮点,牛啊,市局你都敢钓。。。:

aaaaa1.png


tett8.png


test8.png


----------------------------------
直接访问scjc.net.cn 跳转到apple icloud钓鱼页面,继续插进后台,发现很多小白填写了apple id:

test7.png


test5.jpg


http://apprl.apletsrye.cn.com/apple1.asp


------------------------------------------------------------------------
接下来就是爆菊花:
在配置文件中发现了钓鱼者的信息:

'修改的地方只在双引号里,否则将会出错。
aemail="19


mask 区域


*****61*****






0@qq.com" '收件人邮箱,移动手机使用139邮箱,联通手机到mail.wo.com.cn注册,电信189邮箱,其他用户也可以使用其他能接受短信通知的邮箱
atitle="[某某站]有单通知" '邮件标题
ausername="ti





mask 区域


*****iu*****






@163.com" '输入发件人邮箱,qq邮箱需要开启pop3服务


通过人肉,发现此人为asp程序员,58上有具体联系方式
姓名:田*
QQ:19006**20
邮箱:tianq*****@163.com
电话:1343******071
地  址:深圳龙岗区14545

http://sz.58.com/wangzhan/19578267944457x.shtml


QQ空间有帅片:

漏洞证明:

1.png

修复方案:

加强内部人员安全意识,尤其是非技术人员。

版权声明:转载请注明来源 loli@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-11-26 10:04

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2014-11-21 14:26 | 紫衣大侠 ( 普通白帽子 | Rank:201 漏洞数:21 | 愿结天下有识之士)

    这个要关注!!

  2. 2014-11-21 14:27 | 机器猫 ( 普通白帽子 | Rank:1141 漏洞数:253 | 爱生活、爱腾讯、爱网络!)

    ccav看这里!!

  3. 2014-11-21 14:29 | wanglaojiu ( 普通白帽子 | Rank:168 漏洞数:39 | 道生一,一生二,二生三,三生万物,万物负...)

    这么厉害!

  4. 2014-11-21 14:29 | 番茄炒蛋 ( 普通白帽子 | Rank:106 漏洞数:31 | test)

    前排。。。

  5. 2014-11-21 14:36 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    这案例太精彩了

  6. 2014-11-21 14:37 | 小豹 ( 实习白帽子 | Rank:33 漏洞数:8 | 一个人的寂寞,整个群的错234236)

    前排。。。

  7. 2014-11-21 14:38 | 天朝城管 ( 普通白帽子 | Rank:116 漏洞数:35 | 不要等到命玩你的时候才开始玩命)

    cctv看这里啊 上电视了

  8. 2014-11-21 14:47 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    终于看到这种邮件到底有什么样的受害企业和受害者了。。

  9. 2014-11-21 14:48 | s0mun5 认证白帽子 ( 普通白帽子 | Rank:493 漏洞数:24 | .)

    据说特别吊

  10. 2014-11-21 14:58 | 摸了你 ( 实习白帽子 | Rank:71 漏洞数:17 | 1shitMVqBjCKrnRvSoixMx6RKpG9J8pBM)

    擦,鄙视你们这种看完喊吊的人

  11. 2014-11-21 15:17 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    果然很精彩!

  12. 2014-11-21 15:19 | 火焰真菌 ( 实习白帽子 | Rank:37 漏洞数:11 | 火焰真菌)

    mark

  13. 2014-11-21 15:20 | 铁蛋火车侠 ( 普通白帽子 | Rank:156 漏洞数:31 | Q群371620085 技术交流群 有漂亮妹纸!)

    好玩么

  14. 2014-11-21 15:21 | GrayTrack ( 实习白帽子 | Rank:75 漏洞数:14 | 灰色轨迹)

    应该很精彩

  15. 2014-11-21 15:25 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    求公开

  16. 2014-11-21 15:28 | hkAssassin ( 普通白帽子 | Rank:358 漏洞数:66 | 我是一只毛毛虫。)

    擦,鄙视你们这种看完喊吊的人。果然很精彩……

  17. 2014-11-21 15:31 | Tank ( 普通白帽子 | Rank:116 漏洞数:21 | 专注于白帽子渗透测试)

    我来湊湊热闹

  18. 2014-11-21 16:10 | VinGogh ( 路人 | Rank:28 漏洞数:7 | G.X.)

  19. 2014-11-21 16:24 | h4ckhell00 ( 路人 | Rank:10 漏洞数:2 | 最温暖的两个字是什么?1、我在。2、别怕。...)

    ccav 看这里看这里!

  20. 2014-11-21 16:30 | 我是壮丁 认证白帽子 ( 路人 | Rank:10 漏洞数:1 | 专业打酱油)

    邮箱走vpn还能好点,要是直接在外网。。。。。。。

  21. 2014-11-21 16:51 | 一只猿 ( 普通白帽子 | Rank:463 漏洞数:89 | 硬件与无线通信研究方向)

    为毛我也收到了那个什么OA的邮件

  22. 2014-11-21 16:55 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    新浪:状元,京东:榜眼,豌豆荚:探花,剩下的就是举人和秀才了,各位继续努力,我们来年再见!

  23. 2014-11-21 16:56 | XOXO ( 路人 | Rank:2 漏洞数:3 | 终于有邀请码了!)

    CCAV 拍这里

  24. 2014-11-21 17:13 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    来围观一下!

  25. 2014-11-21 17:14 | 追寻 ( 实习白帽子 | Rank:86 漏洞数:18 | 闭关修炼)

    CCAV 拍这里

  26. 2014-11-21 17:30 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    mark

  27. 2014-11-21 19:16 | 一只猿 ( 普通白帽子 | Rank:463 漏洞数:89 | 硬件与无线通信研究方向)

    http://mail-oulook.webhobs.in/app/ 这个?

  28. 2014-11-21 19:17 | by乌龟 ( 路人 | Rank:2 漏洞数:1 | 不为名利,只为安全!)

    我去!

  29. 2014-11-21 19:52 | loli 认证白帽子 ( 普通白帽子 | Rank:550 漏洞数:52 )

    钓这么多邮箱搞APT?

  30. 2014-11-21 20:20 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  31. 2014-11-21 21:19 | 动后河 ( 实习白帽子 | Rank:51 漏洞数:13 | ☭)

    占位

  32. 2014-11-21 21:57 | 飘过的红花 ( 路人 | Rank:21 漏洞数:4 | 研究漏洞的方法、方式、工具及手段等是合法...)

    求公开

  33. 2014-11-21 22:44 | 雷锋 ( 路人 | Rank:12 漏洞数:2 | 承接:钻井,架工,木工,电工,水暖工,力...)

    ...

  34. 2014-11-21 22:46 | 贫道来自河北 ( 普通白帽子 | Rank:1395 漏洞数:423 | 一个立志要把乌云集市变成零食店的男人)

    能别吓我吗?我心脏不好

  35. 2014-11-21 23:01 | 专业种田 认证白帽子 ( 核心白帽子 | Rank:1425 漏洞数:182 | 没有最专业的农民,只有更努力地耕耘..........)

    不是黑产弄的吗?

  36. 2014-11-21 23:55 | LoveSnow ( 路人 | Rank:9 漏洞数:3 | 以正和,以奇胜!)

    真的很精彩

  37. 2014-11-22 10:44 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    来晚了 妈蛋

  38. 2014-11-26 12:50 | p0di ( 普通白帽子 | Rank:121 漏洞数:17 | 1+1 = 2 ?)

    Mark

  39. 2014-11-26 14:01 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    有我大途牛的吗?

  40. 2014-11-29 13:05 | 想要减肥的胖纸 ( 普通白帽子 | Rank:250 漏洞数:42 )

    http://outlook.prosegurwebmail.com.ar/mai/order.asp 域名被和谐了 但是还找到了这个 不专业,打字都打错了

  41. 2014-11-29 19:06 | 魂淡、 ( 路人 | Rank:17 漏洞数:2 | 么么哒)

  42. 2014-12-16 10:29 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    怎么一句话就插进去了呢

  43. 2014-12-16 11:17 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    我就这种把别人给揪出来的肯定是匿名发的

  44. 2014-12-16 12:05 | 10457793 ( 普通白帽子 | Rank:867 漏洞数:128 | 说好的借,为什么从来不还?O(∩_∩)O)

    2014-12-16: 细节向普通白帽子公开为什么我看不了那?

  45. 2014-12-16 18:42 | 肉肉 认证白帽子 ( 普通白帽子 | Rank:112 漏洞数:10 | 肉肉在长亭科技,肉肉在长亭科技,肉肉在长...)

    @10457793 因为你的rank没有洞主高,据说这是这和草榴的规则一样

  46. 2014-12-16 19:39 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    @肉肉 肉肉,你知道的太多了 - -!

  47. 2014-12-16 19:55 | 10457793 ( 普通白帽子 | Rank:867 漏洞数:128 | 说好的借,为什么从来不还?O(∩_∩)O)

    @肉肉 谢谢

  48. 2014-12-17 09:51 | 肉肉 认证白帽子 ( 普通白帽子 | Rank:112 漏洞数:10 | 肉肉在长亭科技,肉肉在长亭科技,肉肉在长...)

    @niliu 剑心跟我讲的

  49. 2014-12-17 10:13 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    使用一句话插进服务器?

  50. 2014-12-28 19:48 | 飞段 ( 路人 | Rank:4 漏洞数:15 | 求收编,本人会注入,会上传,会Xss,会破...)

    我要上茅房

  51. 2014-12-28 20:44 | 玉林嘎 ( 普通白帽子 | Rank:758 漏洞数:96 )

    那张图吓到我了

  52. 2015-01-05 09:47 | Coffee ( 普通白帽子 | Rank:144 漏洞数:15 | Corie, a student of RDFZ.)

    这站还在,不清数据。

  53. 2015-01-05 10:01 | 茜茜公主 ( 普通白帽子 | Rank:2360 漏洞数:406 | 家里二宝出生,这几个月忙着把屎把尿...忒...)

    使用一句话插进服务器?

  54. 2015-01-05 10:52 | syjzwjj ( 路人 | Rank:27 漏洞数:3 )

    怎么插得?填写表单有过滤啊

  55. 2015-01-05 11:36 | 淡蓝色の忧伤 ( 普通白帽子 | Rank:172 漏洞数:26 | 开启审计php代码模式 (⊙v⊙)嗯)

    这家伙会被查水表吗?

  56. 2015-01-05 16:22 | 动后河 ( 实习白帽子 | Rank:51 漏洞数:13 | ☭)

    果然有帅照, 够帅!

  57. 2015-01-05 16:47 | 茜茜公主 ( 普通白帽子 | Rank:2360 漏洞数:406 | 家里二宝出生,这几个月忙着把屎把尿...忒...)

    圈的真好看

  58. 2015-01-10 15:55 | D&G ( 普通白帽子 | Rank:523 漏洞数:103 | going)

    没有怎么插啊,不厚道啊

  59. 2015-01-11 18:10 | GrayTrack ( 实习白帽子 | Rank:75 漏洞数:14 | 灰色轨迹)

    使用一句xss插到后台

  60. 2015-01-15 22:01 | Sneezry ( 路人 | Rank:0 漏洞数:1 | I write code.)

    楼主打码不认真啊

  61. 2015-01-17 09:07 | 飘雪柔情 ( 实习白帽子 | Rank:33 漏洞数:7 | 我不是黑客,你们都是黑客)

    求网站源码

  62. 2015-01-17 14:12 | 国士无双 ( 路人 | Rank:5 漏洞数:5 | 小伙伴都惊呆了...)

    看到最后笑尿了

  63. 2015-01-17 15:51 | Code_Monkey ( 路人 | Rank:24 漏洞数:7 | Code Monkey think someday he have everyt...)

    @国士无双 我也是笑尿了.

  64. 2015-01-17 18:12 | 李宇航的小柠檬 ( 路人 | Rank:5 漏洞数:1 | 小柠檬甜不甜)

    姓名:田生 QQ:190066120邮箱:tianqiu20@163.com 电话:1343******071 没深入人肉生日:1985年12月17日故乡:九江市庐山区,不好意思这是我大学所在地==地  址:深圳龙岗区14545更多QQ资料有楼主无论是图片马赛克还是文字马赛克都不认真啊==

  65. 2015-01-29 00:44 | 禽兽大叔 ( 实习白帽子 | Rank:83 漏洞数:22 | 不抛弃,不放弃)

    楼主厉害,不过曝光的真实QQ不是那个,真正在销售这些钓鱼网站源码的人名字叫:紫緣設計 QQ:230000500,电话:00852-66909890此人已经销售了好几年这个钓鱼网站了,也没有人管,之前我在天涯写过这样的帖子,石沉大海了!下面详细解说这个人怎么销售钓鱼网站的。销售地址:http://www.ckzzz.net/进入以后先注册账户,进入以后点程序管理→开通续费哪里↓下拉选择(独立标准版)*(独立专业版)两种,价格在300-500元不等。购买以后只需要自己有一个VPS,某宝可以买到50元左右吧,然后在他网站里有个下载中心(Download)下载安装ZYQQ.EXE,这样一个钓鱼网站就成功安装了。不知道坑害了多少人,希望相关部门查处

  66. 2015-01-29 00:49 | 禽兽大叔 ( 实习白帽子 | Rank:83 漏洞数:22 | 不抛弃,不放弃)

    他相片什么的,进入紫緣設計 QQ:230000500的QQ空间看就行了,这里发不了图,今天又发现了一个钓鱼人用他这套源码诈骗:演示地址:时间长了可能会失效:http://bc.ifeng.com/c?db=ifeng&bid=16277,15962,3436&cid=2501,59,1&sid=33869&advid=349&camid=3546&show=ignore&url=http://htyw.aqaq-999.com:546/?/?kif2v4x7z9wzchmu7hsabwvzhucm6ndrak6jwuhlxdlxunzgjrkxdyeohtgf5ymd9uvtkpr62myxbtsjehkjctgcjukx6un64qc4也可以直接访问:http://bwmp.tk:591/

  67. 2015-03-10 15:23 | net ( 路人 | Rank:20 漏洞数:2 | 介绍)

    @禽兽大叔 此回复仅代表紫緣設計 我跟你什么仇什么怨