当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0130015

漏洞标题:饿了么(外/内网)网络边界可全漫游(已撕进VPN)

相关厂商:饿了么

漏洞作者: 殺器王子

提交时间:2015-08-12 15:18

修复时间:2015-09-29 17:42

公开时间:2015-09-29 17:42

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:13

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-12: 细节已通知厂商并且等待厂商处理中
2015-08-15: 厂商已经确认,细节仅向厂商公开
2015-08-25: 细节向核心白帽子及相关领域专家公开
2015-09-04: 细节向普通白帽子公开
2015-09-14: 细节向实习白帽子公开
2015-09-29: 细节向公众公开

简要描述:

你是猪么?利用社会工程学攻击拿下一名员工权限````````你能想到的都能撸`````

详细说明:

通过某社会工程学手段(钓鱼)拿到了运维部门一名员工的企业邮箱权限后继续扩大战果至多名各部门邮箱权限

jjk.png


20CE429D-65A1-484E-AA3D-C3877CEB7B4D.jpeg


根据新上线的饿了么“Aone(费控)系统”
电脑端访问地址:aone.rajax.me:7002(与费控系统为统一访问地址)
默认用户名:邮箱前缀 ;默认密码:邮箱前缀+身份证后四位

mask 区域 
*****^^eleme 密码为:p*****


饿了么默认密码top

mask 区域 
*****me51*****
*****234*****
*****lem*****
*****@34*****
*****le1*****


先进内网吧

vpn1.png

感觉可以撸你们打印机了````
内网文件服务器的地址smb://samba.dev.elenet.me/ (IP地址:172.16.10.57)
eleme-5f-dev上网或下载,密码

mask 区域 
*****le.*****


ops在办公室搭建了一个samba文件服务,服务器名字是:samba.dev.elenet.me
,各组访问使用共用用户名,各组用户名如下:
产品设计组 pxd
网站开发组 mainsite
前端开发组 frontend
移动端开发组 mobile
后台业务系统组 walis
napos开发组 napos
平台架构组 arch
运维组 ops
自配送业务组 paladin
数据平台组 bigdata
开发环境和生产环境数据库

mask 区域 
*****: *****
*****           *****
*****0.24             *****
*****6           *****
*****^eleMe)          *****
*****er  对应产*****
*****^^的eus-ers库        *****
*****     em*****
**********
*****              *****
*****^^址:1*****
*****口: *****
*****e (密码^*****
*****b:  el*****
**********
*****ng:*****
*****mys*****
*****址:172.*****
*****口: *****
*****e (密码^*****
*****对应产品的*****
*****    对应产品*****
*****c            *****
*****    *****
*****esql: *****
*****^址:17*****
*****^口^*****
*****me (密^*****
*****:  ele*****


公网 pac:
http://z.elenet.me/zap.pac
http://z.elenet.me/zapsocks.pac
办公室 pac:
http://zz.elenet.me
http://zz.elenet.me/ofsocks.pac

漏洞证明:

公司打印机ip

京瓷3010i (4楼茶水间)      172.16.10.251
      Brother HL-5450DN series (4楼HR)      172.16.21.253
      HP LaserJet 500 color M551 (5楼原发改委)      172.16.19.253
      京瓷3010i (5楼客服部)      172.16.20.253
      京瓷3010i (5楼培训室)      172.16.18.253
      Brother HL-5450DN series (5楼产品部)      172.16.16.253

并且找到了一个执行脚本

打印机.png


得知net use \\172.16.10.238\IPC$ /user:testhr@elemecn.me zaq12wsX

"\\172.16.10.238\Kyocera CS 3010i (4楼茶水间)"
 "\\172.16.10.238\Kyocera CS 3010i (5楼客服部)"
 "\\172.16.10.238\Kyocera CS 3010i (5楼培训教室)"
 "\\172.16.10.238\Brother HL-5450DN series (5楼产品部)"
 "\\172.16.10.238\Brother HL-5450DN series (4楼HR)"


1万多的邮箱,不一一列举
采集饿了么所有的内外网域名

mask 区域 
*****;elene*****
*****enet*****
*****x.ele*****
*****elen*****
*****elen*****
*****ene*****
*****elen*****
*****2.ele*****
*****elen*****
*****.elen*****
*****y.ele*****
*****lene*****
*****net.*****
*****net*****
*****elen*****
*****lenet*****
*****enet*****
*****elene*****
*****lenet*****
*****lenet*****
*****lenet*****
*****elene*****
*****.elen*****
*****lenet*****
*****s.ele*****
*****data.el*****
*****.elen*****
*****lenet*****
*****lenet*****
*****.elen*****
*****enet*****
*****elen*****
*****ce.ele*****
*****.elen*****
*****lenet*****
*****elen*****
*****elene*****
*****.elene*****
*****ice.ele*****
*****b.elen*****
*****.elene*****
*****.elene*****
*****.elen*****
*****ene*****
*****net*****
*****net*****
*****net*****
*****lenet*****
*****lene*****
*****elen*****
*****b.ele*****
*****x.ele*****
*****.elen*****
*****.elen*****
*****r.ele*****
*****xt.ele*****
*****.elen*****
*****.elen*****
*****lenet*****
*****elen*****
*****lenet*****
*****net.*****
*****net*****
*****enet*****
*****elene*****
*****lene*****
*****lene*****
*****elen*****
*****enet*****
*****ene*****
*****enet*****
*****enet*****
*****enet*****
*****lene*****
*****lenet*****
*****elen*****
*****elen*****
*****.elen*****
*****ene*****
*****lene*****
*****lene*****
*****.elen*****
*****net*****
*****elen*****
*****net.*****
*****.elen*****
*****net.*****
*****kend.el*****
*****ols.el*****
*****elen*****
*****s.ele*****
*****.elen*****
*****lene*****
*****lenet*****
*****lenet*****
*****net.*****
*****.elen*****
*****p.ele*****
*****rst.el*****
*****dex.ele*****
*****search.e*****
*****.m*****
*****.ele*****
*****edu.el*****
*****u.ele*****
*****-edu.e*****
*****le.*****
*****le.*****
*****le.*****
*****.ele*****
*****.el*****
*****ele.*****
*****.ele*****
*****.ele*****
*****ele.*****
*****ele.*****
*****p.el*****
*****.el*****
*****.shop.*****
*****hop.e*****
*****du.el*****
*****.ele*****
*****edu.e*****
*****ele.*****
*****op.e*****
*****shop.e*****
*****shop.e*****
*****ele*****
*****i.el*****
*****e.el*****
*****ele.*****
*****p.ele*****
*****e.m*****
*****.ele*****
*****ele*****
*****ele*****
*****e.el*****
*****ele.*****
*****ele*****
*****ele*****
*****ele.*****
*****.el*****
*****ob.e*****
*****le.*****
*****.shop.*****
*****.el*****
*****y.ele*****
*****ele*****
*****.ele*****
*****.el*****
*****ver.e*****
*****.me*****
*****e.m*****
*****ele*****
*****op.el*****
*****t.ele*****
*****.el*****
*****pe.e*****
*****t.el*****
*****p.ele*****
*****i.el*****
*****t.ele*****
*****.el*****
*****.ele*****
*****du.el*****
*****.ele*****
*****edu.e*****
*****.me*****
*****.ele*****
*****tic.el*****
*****.ele*****
*****.me*****
*****.ele*****
*****ele*****
*****.me*****
*****ele.*****
*****ele.*****
*****ele*****
*****.el*****
*****ele*****
*****le.*****
*****le.*****
*****.ele*****
*****ele.*****
*****.ele*****
*****ele.*****
*****shop.*****
*****i.el*****
*****ele.*****
*****.me*****
*****.el*****
*****i.ele*****
*****e.m*****
*****.me*****
*****.el*****
*****.ele*****
*****le.*****
*****ls.e*****
*****ntls._t*****
*****cod*****


然后爆破------

邮箱.png


mask 区域 
*****le.me : *****
*****ele.me *****
*****@ele.me *****
*****ele.me :*****
*****ele.me :*****
*****g@ele.me*****
**********
*****le.me :*****
*****@ele.me :*****
*****@ele.me :*****
*****ele.me :*****
*****@ele.me :*****
*****le.me :*****
*****le.me :*****
*****ele.me :*****
*****le.me : *****
*****e.me : e*****
*****ele.me : *****
*****@ele.me*****
*****@ele.me *****
*****ele.me :*****
*****ele.me :*****
*****@ele.me *****
*****ele.me :*****
*****ng@ele.m*****
*****g@ele.me*****
*****@ele.me *****
*****@ele.me *****
*****@ele.me *****
*****le.me :*****
*****@ele.me*****
*****ele.me :*****
*****@ele.me *****
*****ele.me *****
*****le.me :*****
*****le.me *****
*****@ele.me *****
*****@ele.me*****
*****ele.me :*****
*****le.me :*****
*****ele.me :*****
*****@ele.me *****
*****@ele.me *****
*****ele.me :*****
*****g@ele.me*****


修复方案:

版权声明:转载请注明来源 殺器王子@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-08-15 17:41

厂商回复:

感谢对饿了么的关注和支持,稍后会将礼品送上。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-08-12 15:18 | 牛 小 帅 ( 普通白帽子 | Rank:371 漏洞数:86 | [code]心若没有栖息的地方,走到哪里都是在...)

    复活啦 好久不见

  2. 2015-08-12 15:20 | Beau ( 路人 | Rank:0 漏洞数:1 | 小菜一枚)

    很好很强大

  3. 2015-08-12 15:20 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @饿了么 你是猪么?利用社会工程学攻击拿下一名员工权限`````````

  4. 2015-08-12 15:20 | qhwlpg ( 普通白帽子 | Rank:226 漏洞数:54 | 潜心代码审计。)

    第一排3D戴好坐等打雷。

  5. 2015-08-12 15:21 | 牛 小 帅 ( 普通白帽子 | Rank:371 漏洞数:86 | [code]心若没有栖息的地方,走到哪里都是在...)

    @qhwlpg 给我买

  6. 2015-08-12 15:21 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    贱人 老实交代 是不是剽窃我的思路

  7. 2015-08-12 15:21 | PgHook ( 普通白帽子 | Rank:964 漏洞数:115 | ...........................................)

    你为何这么屌

  8. 2015-08-12 15:21 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    准备雷劈

  9. 2015-08-12 15:21 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    殺器王子 社工+撸下mail

  10. 2015-08-12 15:21 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    真j8长脸啊

  11. 2015-08-12 15:22 | BMa ( 普通白帽子 | Rank:1780 漏洞数:201 )

    @爱上平顶山 你去打他呀

  12. 2015-08-12 15:23 | 计算姬 ( 普通白帽子 | Rank:398 漏洞数:90 | 看我看我看我啊)

    打脸了打脸了

  13. 2015-08-12 15:24 | king7 ( 普通白帽子 | Rank:525 漏洞数:102 | 长期1:7回收WB,手续费协商,个位数到三位数...)

    瞬间20回复?

  14. 2015-08-12 15:24 | Manning ( 普通白帽子 | Rank:559 漏洞数:78 | 就恨自己服务器太少)

    开心开心啊

  15. 2015-08-12 15:25 | niliu 认证白帽子 ( 核心白帽子 | Rank:1538 漏洞数:207 | 逆流而上)

    打脸+打雷

  16. 2015-08-12 15:31 | pyphrb ( 实习白帽子 | Rank:47 漏洞数:6 | ...........................................)

    @饿了么 你是猪么

  17. 2015-08-12 15:39 | 殺器王子 ( 普通白帽子 | Rank:142 漏洞数:7 | 磨刀霍霍向猪羊,手握殺器日天下)

    @爱上平顶山 @niliu @px1624 =。=淡定淡定````别怕厂商吓跑了

  18. 2015-08-12 15:48 | 毕月乌 ( 普通白帽子 | Rank:120 漏洞数:16 | 猜猜我是谁?)

    一般来说厂商太NB都会被神速打脸~

  19. 2015-08-12 15:57 | 我是你的益达! ( 路人 | Rank:29 漏洞数:3 | 容我喝壹杯捌贰年的雪碧压压精!!)

    社工大法好!

  20. 2015-08-12 15:57 | 乐乐、 ( 普通白帽子 | Rank:853 漏洞数:189 )

    厂商装逼装大了 一般都会被打脸

  21. 2015-08-12 16:05 | 盛大网络(乌云厂商)

    白帽子好像很牛逼 随便骂 厂商惹你了

  22. 2015-08-12 16:09 | pyphrb ( 实习白帽子 | Rank:47 漏洞数:6 | ...........................................)

    @盛大网络 厂商装逼装大了 一般都会被打脸 ,什么都给3rank ,1rank,你怎么想,你自己看看饿了么漏洞

  23. 2015-08-12 16:27 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    @盛大网络 厂商说了一些话,好像刺激到了白帽子!

  24. 2015-08-12 16:29 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    叼.

  25. 2015-08-12 16:55 | 小杨 ( 路人 | Rank:22 漏洞数:4 | 。)

    我饿了,洞主给我带一份饭吧!

  26. 2015-08-12 16:55 | 浮萍 ( 普通白帽子 | Rank:555 漏洞数:118 | 默默潜水)

    两点多就饿了,出去找吃的,远远看到一家饭店橱窗上的广告“肉夹馍4点后4元”,哥咬牙坚持到了4点,8块钱点了两个肉夹馍。一边吃一边问店老板:4点以后4元一个,4点以前多少钱?答:3块。

  27. 2015-08-12 19:19 | 饿了么(乌云厂商)

    江湖辣么大,高手太多啦,大家交朋友,一起喝杯水酒呗。小编为自己的失言表示歉意,奉上礼品卡请大家笑纳。希望大家继续支持饿了么的安全工作,码农哭倒在键盘……

  28. 2015-08-12 21:08 | 殺器王子 ( 普通白帽子 | Rank:142 漏洞数:7 | 磨刀霍霍向猪羊,手握殺器日天下)

    @饿了么 厂商打电话来道歉了···也承诺了会给白帽子福利的····知错就改就是好厂商。(大概8点20发)

  29. 2015-08-15 18:05 | Q1NG ( 实习白帽子 | Rank:93 漏洞数:16 | 临 兵 斗 者 皆 阵 列 前 行 !)

    ............................

  30. 2015-08-15 19:59 | 大物期末不能挂 ( 普通白帽子 | Rank:132 漏洞数:23 | 1.一个学渣,只求每门都不挂2.想把漏洞提...)

    这个漏洞很有意思啊。。。仔细研究漏洞编号,发现应该是很久之前就提交了,然而至今才审核的

  31. 2015-08-15 21:23 | 背影 ( 路人 | Rank:25 漏洞数:3 )

    @大物期末不能挂 你觉得杀气王子的漏洞还需要审啊?

  32. 2015-08-15 23:56 | 天明二号 ( 路人 | Rank:0 漏洞数:1 | 俺什么都不知道>_<)

    @盛大网络 俺只想说“俺什么都不知道”

  33. 2015-08-16 08:53 | ganggang ( 路人 | Rank:4 漏洞数:2 | 这个号是来乌云聊天的....)

    【求职】:每日膜拜大牛,请问诸位家中或者团队或者公司是否缺少清洁人员?本人自小学被老师罚打扫卫生到如今,一手扫地技术早已炉火纯青,秒杀乌云所有白帽大神,如有需要请联系我,薪金分文不取,只要包吃包吃包学技术。当然,如果你认为小弟能力仅仅局限于清洁,那就大错特错了,其实小弟还可以洗衣洗内裤,做饭叫外卖,端茶倒水陪吃陪玩均不在话下,本人特长相信对您也具备一定的价值,首先,某个部位特别长是必须的,其次文采飞扬,代写情书代聊天,约炮手到妹来,我约你泡,何乐而不为?其次擅长各种维修,上至高压强电,下至低压弱电,汽车修理电脑维修均有涉猎,出门当司机在家当保姆,可胜任大部分岗位,心灵手巧颜值高,身强体壮人品好,这样的人才你不缺吗?如有需要,一定要尽快联系我,辞职信已写来,铺盖已卷好,收拾好了行李,就差一张开往您所在地的火车票...... 打了这么对字挺累的,最后说一句,乌云不是搞笑论坛,我是认真的,为了学习也是蛮拼的,来个大牛收了我吧,联系方式:私信。