当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0105400

漏洞标题:北京市工作居住证设计不当可导致用户敏感信息泄露(一个不靠谱的系统+怕麻烦的人资+不重视安全的个人)

相关厂商:北京市工作居住证

漏洞作者: hkAssassin

提交时间:2015-04-02 15:03

修复时间:2015-05-22 11:20

公开时间:2015-05-22 11:20

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-04-02: 细节已通知厂商并且等待厂商处理中
2015-04-07: 厂商已经确认,细节仅向厂商公开
2015-04-17: 细节向核心白帽子及相关领域专家公开
2015-04-27: 细节向普通白帽子公开
2015-05-07: 细节向实习白帽子公开
2015-05-22: 细节向公众公开

简要描述:

论信息安全的重要性(一个扯淡的系统+怕麻烦的人资+不重视安全的个人)导致某政务极为敏感信息泄露(最近看到社区有人再发好像这种信息价格挺高)。

详细说明:

问题是这样的:
今天人资的mm找我说可以办理北京工作居住证了(听说相当于绿卡)。办理了之后可以买房买车,于是我就毫不犹豫的办了。人资的mm给了我一个系统,第二天发给我登陆的用户名和密码,我一看登陆名是我的工号,密码是弱口令(6位的)。于是我就进去在里面填写了各种资料,基本上算是吧自己全部出卖给了这个系统。然后我第一时间想到的就是先把密码修改一下,结果发现扯淡的系统在好多浏览器都显示不能修改密码,最后发现只能在ie9一下的系统及部分google浏览器做修改和信息浏览。
接着我看了看这个系统,发现了两个越权前面已经提交过了。加上没有这个系统没有验证码。然后还有就是如果你输入的用户名不合适他会提示你用户名不合适,输入的密码不合适会提示你密码不合适。所以我就想到了暴力破解。
因为这个系统的初始密码都是人资来设定的,所以我猜测一个企业里人资给所有人设定的密码都是一样的,而且极其有可能是弱口令。带着这个想法我开始了暴力破解,经过随机爆破20000个账号用了两组极其弱的弱口令。结果顺利爆破出13个账号,其中有一个是企业账号,这个账号最后从侧面证明了,我的猜测,就是人资在写初始密码的时候基本上会选择复制粘贴,复制粘贴。所以基本同一个企业的密码都是一样的,那么登陆名就是该企业的工号,工号一般就为纯数字。
下面是我弄出来的账号。账号随机生成的,密码就是111111和123456
关于这个漏洞更多的危害,我已经无力吐槽,各位大牛你们自己想吧!


11.jpg

12.png

13.jpg

14.jpg

15.jpg

16.png

17.jpg

18.png

19.png

20.png

21.jpg


下面是一组企业账号

zz.png

zy.png

漏洞证明:

问题是这样的:
今天人资的mm找我说可以办理北京工作居住证了(听说相当于绿卡)。办理了之后可以买房买车,于是我就毫不犹豫的办了。人资的mm给了我一个系统,第二天发给我登陆的用户名和密码,我一看登陆名是我的工号,密码是弱口令(6位的)。于是我就进去在里面填写了各种资料,基本上算是吧自己全部出卖给了这个系统。然后我第一时间想到的就是先把密码修改一下,结果发现扯淡的系统在好多浏览器都显示不能修改密码,最后发现只能在ie9一下的系统及部分google浏览器做修改和信息浏览。
接着我看了看这个系统,发现了两个越权前面已经提交过了。加上没有这个系统没有验证码。然后还有就是如果你输入的用户名不合适他会提示你用户名不合适,输入的密码不合适会提示你密码不合适。所以我就想到了暴力破解。
因为这个系统的初始密码都是人资来设定的,所以我猜测一个企业里人资给所有人设定的密码都是一样的,而且极其有可能是弱口令。带着这个想法我开始了暴力破解,经过随机爆破20000个账号用了两组极其弱的弱口令。结果顺利爆破出13个账号,其中有一个是企业账号,这个账号最后从侧面证明了,我的猜测,就是人资在写初始密码的时候基本上会选择复制粘贴,复制粘贴。所以基本同一个企业的密码都是一样的,那么登陆名就是该企业的工号,工号一般就为纯数字。
下面是我弄出来的账号。账号随机生成的,密码就是111111和123456
关于这个漏洞更多的危害,我已经无力吐槽,各位大牛你们自己想吧!


11.jpg

12.png

13.jpg

14.jpg

15.jpg

16.png

17.jpg

18.png

19.png

20.png

21.jpg


下面是一组企业账号

zz.png

zy.png

修复方案:

我也不知道怎么修复。报给cctv吧!拍这里……
ps:想起了那句至理名言。弱口令是全球硬伤。
为嘛这系统不加验证码?不加登陆次数限制?我在想复制粘贴123456和复制粘贴AHSDKdee(*&^%^!这个有什么不一样么?还有为嘛自己都不重视自己的信息?
最后答案:意识+认识

版权声明:转载请注明来源 hkAssassin@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-04-07 11:19

厂商回复:

CNVD确认所述情况(缺少账号信息),已经转由CNCERT向北京市政府信息化主管部门通报,由其后续协调网站管理单位处置。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-04-02 15:05 | 0c0c0f ( 实习白帽子 | Rank:48 漏洞数:15 | My H34rt c4n 3xploit 4ny h0les!)

    论信息安全的重要性(一个扯淡的系统+怕麻烦的人资+不重视安全的个人)导致某政务极为敏感信息泄露(最近看到社区有人再发好像这种信息价格挺高)。

  2. 2015-04-02 15:31 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    这块应该是被盯上的数据,办了这个基本就是要买房买车的人吧。

  3. 2015-04-02 15:42 | hkAssassin ( 普通白帽子 | Rank:358 漏洞数:66 | 我是一只毛毛虫。)

    @疯狗 这个数据绝对是被顶上的……办了不一定买哈哈~~~假装要买……