漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0150613
漏洞标题:控制魅族在线商店突破vpn双因素进入内网(涉及大量用户详细订单/手机IMEI等)
相关厂商:魅族科技
漏洞作者: getshell1993
提交时间:2015-10-30 14:03
修复时间:2015-12-14 11:44
公开时间:2015-12-14 11:44
漏洞类型:账户体系控制不严
危害等级:高
自评Rank:20
漏洞状态:厂商已经修复
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-10-30: 细节已通知厂商并且等待厂商处理中
2015-10-30: 厂商已经确认,细节仅向厂商公开
2015-11-09: 细节向核心白帽子及相关领域专家公开
2015-11-19: 细节向普通白帽子公开
2015-11-29: 细节向实习白帽子公开
2015-12-14: 厂商已经修复漏洞并主动公开,细节向公众公开
简要描述:
人的漏洞实在太可怕了。
双因素认证往往只要有人参与进来,总会有出问题的时候。
详细说明:
邮箱弱口令
上回太匆忙没想到好办法没突破vpn,于是这回想到了个好办法。
嗯,大部分员工的vpn是双因素认证的,而且现在手机号也没法直接在mail修改从而来突破双因素,只能想办法从人入手来进一步更改手机号了。
灵机一动邮件里搜索了一下IT,获取到IT部的固定电话。
鼓起勇气拿起手机拨打了魅族IT部固定电话
电话:0756-6122900(8000)
时间:2015年10月30号中午11点45分
没录音,对话内容大概如下:
嘟嘟嘟…… 几秒后一个男的接电话
IT:喂
我:喂 你好,请问是IT部吗?
IT:不好意思,现在是休息时间。 (………………居然11点45分就休息了)
我:哦,打扰了,我想请问一下现在怎么更改vpn绑定的接收手机号呢?
IT:你发封邮件到IT的邮箱吧,下午帮你更改
我:好的,谢谢(本来想试试直接通过电话看能不能修改,也罢,有了另外一个途径了)
用我自己测试的手机号写了封邮件发到it部
发送后赶紧删除 已免被更快察觉
接着就是等待IT部的更改了
13点45分 好消息来了
证明已经突破vpn双因素手机验证码那一块问题了
过了几分钟mail里已经同步
漏洞证明:
下面引发的问题更加严重,也就是标题提到的540万用户详细订单/手机IMEI
http://store-manage.meizu.com/
于是来到了后台界面
但是用获取到的域账号密码无法登陆
不过登陆处没验证码,直接用密码123456跑一下
<code
</code>
后台功能实在太强大了,历史五百多万详细订单。
每天活动管理
还可以手机号加白名单
订单自动短信内容控制
控制首页大图
后台还有多处sql注入
sql注入就这样吧,不深入了。
另外一个邮箱里看到一个暂时使用的vpn,还未开启双因素认证的vpn,直接进入生产网。
暂时使用:
VPN的网址没变,还是:https://vpn.meizu.com
虽然说是暂时,邮件里也说到手机二次验证,对方也提供了手机号,但一个多月过去了还是没实施。
之前遇到这类问题比较多,会选择发到魅族src,这次有些地方比较有意思,想想还是发到wooyun吧,望谅解。
只是希望此案例公开后对其他公司安全人员有所帮助,能对这块有所加强。
修复方案:
加强员工安全意识
加强员工安全意识
加强员工安全意识
版权声明:转载请注明来源 getshell1993@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2015-10-30 15:30
厂商回复:
感谢提交,正在处理中!
最新状态:
2015-10-30:已修补完毕,感谢白帽子提交问题,地址私信发一下,礼品相送~
2015-12-14:已修补。
漏洞评价:
评论
-
人的漏洞实在太可怕了,我是猪,还好说的不是我,我没漏洞。
( 核心白帽子 | Rank:3650 漏洞数:282 | 你都有那么多超级棒棒糖了,还要自由干吗?)