当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0134452

漏洞标题:身边的黑客之看我如何让车辆远程断电断油关闭报警

相关厂商:moootooo.com

漏洞作者: 小胖子

提交时间:2015-08-17 14:29

修复时间:2015-08-22 14:30

公开时间:2015-08-22 14:30

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-17: 细节已通知厂商并且等待厂商处理中
2015-08-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

机车游侠隶属于上海锘钛通信科技有限公司,是目前中国机车中装机量最大的GPS防盗模块,拥有广大的用户群体和良好的业界口碑,并以多渠道报警(电话、短信、微信)和多端口监控(微信、APP、web地图)和多途径防盗(远程锁定、断电、断油)等著称。
表哥职业病,正准备摩旅,安装了机车游侠,手贱,其实初始对这类企业是选择相信的,但是事实总让人失望,如果小偷得到这样的权限,当防盗器失去了本身的作用,又会有怎样的危害呢?

详细说明:

官方网站:http://www.moootooo.com/
首先对moootooo.com的子域名进行二级域名fuzz,并没有什么发现,猜测可能采用了集团域名或者其他管理域名。
发现一处命令执行,是一个管理系统,跟财务相关。
http://112.124.33.6/mpsf/loginAction.action
dir:/root/apache-tomcat-6.0.35/webapps/mpsf/
get到shell http://112.124.33.6/mpsf/images/wooyun.jsp

webapp.jpg


备注:服务器是阿里云的,所以shell可能随时没有。
后来针对mail进行攻击,发现采用的是腾讯企业邮箱。
发现弱口令账户 mlxian@moootooo.com 123456a
摸清楚了组织架构,并且找到了管理域名是moootooo.cn
并得到了一些常用密码。
虽然这些密码已经不能使用,但是对后续渗透有比较大的帮助

a.jpg


包括很多SVN账户,邮箱账户等,都直接明文密码在邮箱传输

svn.jpg


通过VOS的账户,登陆到VOS平台,还可以查看短信发送记录哟

vos.jpg


duanxin.jpg


很多服务器有非常多的 phpinfo之类的信息泄露。

p.jpg


从邮箱得到的部分密码,成功登陆了PMS,Bugfree,两个大集团的平台,歌华在线和海能集团

pms.jpg


bugfree.jpg


haineng.jpg

gehua.jpg


各种明文密码在邮件里飞,受不了,不再一一列举

server.jpg


可以控制很多台服务器

ssh.jpg


然后访问SVN服务器,得到很多敏感信息,包括后台地址等 SVN很多弱口令

SVNliebiao.jpg


从SVN下载的文档

ht.jpg

漏洞证明:

那如何能影响广大的受众群体呢,普通的机车游侠消费者。
站在小偷的角度上想,需要得到以下几个条件。
1.哪些人使用了机车游侠?
2.他们都在哪里?
3.我如何关闭防盗器直接把车拉走?
我们一一解决。
一、首先哪些人使用了机车游侠?
我们找到一处注入

sqlin.jpg


管理平台8003端口 一个测试系统,但是很不幸,弱口令+后台注入。
机车游侠管理都是绑定手机号的,我们count一下
报告大侠,表ALL_USER有50981行数据!----2015/8/16 11:18:13
嗯 这是个人机车安装用户量,不算集团客户。
其中usernmae就是手机号,PWD直接忽略,当然也可以拿pwd解出来 md5 加了简单的salt
二、他们在哪个地方?
得到用户手机号后,我们需要对用户进行定位。
我拿我朋友做个测试,成功在用户表中找到了他,13459263917 (审核后期打马赛克)
那如何定位呢,机车游侠宣传说7*24小时在线客服服务,那就盯准了在线客服服务系统
http://d.moootooo.cn:8800/login.php
从以前的邮件来看,登陆账号是真实姓名。密码应该相对简单,登陆包知识用户名URL encode,无验证码,burp跑一圈。
尝试后得到弱口令
李春燕 密码 654321
进入机车游侠在线客服系统

kefu.jpg


通过查找手机号,找到了我的朋友,甚至找到了车辆的过户记录。

2.png


通过点击前台按钮,直接对用户车辆进行定位,车型什么的一目了然。

qiantai.jpg


三、我如何关闭防盗器直接把车拉走?
进入前台后,点击机车设置,可以实现远程熄火,等各种危险操作,甚至关闭防盗器报警等。

xihuo.jpg


此时小偷需要掌握的信息都可以具备了,地址,电话,状态,关闭防盗,一台黄龙600的价值大概是5W元左右,小偷只需要带上金杯车即可。
这是朋友的反应

fany.jpg

修复方案:

感觉整个过程有非常多的问题,企业在发展的同事,也要注意信息安全,防止公司和用户的财产遭受重大损失。
修复建议
0x1:mail登陆绑定微信,启用微信二次验证。
0x2:后台管理系统启用二次验证,比如手机动态验证码。

版权声明:转载请注明来源 小胖子@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-08-22 14:30

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

2015-08-22:已处理

2015-08-22:前期对乌云不是很熟悉,没有及时确认,很早已经和作者沟通解决了

漏洞评价:

评论

  1. 2015-08-16 16:26 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    吓死宝宝了,你能断掉我的自行车吗?

  2. 2015-08-16 18:19 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    艾玛 我雷呢 @浩天 @疯狗

  3. 2015-08-16 23:19 | answer ( 普通白帽子 | Rank:347 漏洞数:45 | 答案)

    表哥威武

  4. 2015-08-17 09:39 | 有归于无 ( 实习白帽子 | Rank:84 漏洞数:15 | 有归于无)

    吓死宝宝了,你能断掉我的自行车吗?

  5. 2015-08-17 11:07 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    吓死宝宝了,你能断掉我的自行车吗?

  6. 2015-08-17 11:09 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    吓死宝宝了,你能断掉我的自行车吗?

  7. 2015-08-17 11:11 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @VIP 我操,宝贝你诈尸了啊?

  8. 2015-08-17 11:47 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    @小胖子 -_-

  9. 2015-08-17 14:43 | 一只猿 ( 普通白帽子 | Rank:463 漏洞数:89 | 硬件与无线通信研究方向)

    吓死宝宝了,你能断掉我的自行车吗?

  10. 2015-08-17 14:43 | just_joker ( 实习白帽子 | Rank:72 漏洞数:17 | ..........)

    首先需不需要一个摩托车?

  11. 2015-08-17 14:44 | f4ckbaidu ( 普通白帽子 | Rank:182 漏洞数:23 | 开发真是日了狗了)

    吓死宝宝了,你能断掉我的电动GTR吗?

  12. 2015-08-17 14:49 | DNS ( 普通白帽子 | Rank:194 漏洞数:26 | 杀猪刀啊,杀猪刀啊)

    卧槽 我那自行车 会不会

  13. 2015-08-22 08:45 | ChristopereRussell ( 路人 | Rank:1 漏洞数:1 | 高中生一只,爱好计算机)

    吓死宝宝了,你能断掉我的电动GTR吗?

  14. 2015-08-22 20:40 | pw0 ( 路人 | Rank:7 漏洞数:2 | 爱推理,爱计算机,爱社工,爱挖有(wei)...)

    吓死宝宝了,你能打断我的腿吗?

  15. 2015-08-22 23:37 | 云之凡 ( 路人 | Rank:4 漏洞数:2 | 不自由的自由人!)

    吓死宝宝了,我的车给偷走了!

  16. 2015-08-23 13:49 | tSt ( 路人 | Rank:27 漏洞数:7 | 在开发里运维最强,运维里网络最强,网络里...)

    吓死宝宝了,你能断掉我的自行车吗?

  17. 2015-08-26 11:24 | 有归于无 ( 实习白帽子 | Rank:84 漏洞数:15 | 有归于无)

    我拿我朋友做个测试,成功在用户表中找到了他,13459263917 (审核后期打马赛克)

  18. 2015-08-26 21:44 | tSt ( 路人 | Rank:27 漏洞数:7 | 在开发里运维最强,运维里网络最强,网络里...)

    @小胖子 腾讯企业邮箱怎么爆破?

  19. 2015-08-27 12:06 | 蓝哆 ( 实习白帽子 | Rank:84 漏洞数:12 | 尽我所能,改变互联网的明天~ 我是作死哆)

    吓死宝宝了,你能断掉我的自行车吗?

  20. 2015-08-30 21:58 | 风花雪月 ( 实习白帽子 | Rank:55 漏洞数:44 | []+[]|[]-[][][][][]%[][]|[]\[]%[][]|[]\[...)

    吓死宝宝了,你能断掉我的自行车吗?