当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-094035

漏洞标题:企业应用安全的软肋之唯品会内网漫游(DBA系统、项目管理系统等)

相关厂商:唯品会

漏洞作者: 北京方便面

提交时间:2015-01-26 16:56

修复时间:2015-03-12 16:58

公开时间:2015-03-12 16:58

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-26: 细节已通知厂商并且等待厂商处理中
2015-01-26: 厂商已经确认,细节仅向厂商公开
2015-02-05: 细节向核心白帽子及相关领域专家公开
2015-02-15: 细节向普通白帽子公开
2015-02-25: 细节向实习白帽子公开
2015-03-12: 细节向公众公开

简要描述:

唯品会内网漫游(DBA系统、项目管理系统等)
账户体系的控制一直是企业应用安全的一个软肋!

详细说明:

账户体系的控制一直是企业应用安全的一个软肋!
完整的漫游过程是这样的:
入口点:https://mail.vipshop.com
用15000常见姓名列表及我们收集唯品会的邮箱作为用户名字典
由于邮箱web端爆破可能会有验证码的干扰,我们想到了爆破其smtp
自己写了个小python脚本,进行简单的弱口令密码组合爆破获得了第一个账号:

mask 区域 
*****p.com :*****


屏幕快照 2015-01-26 下午3.49.20.png


由于是公共邮箱,里面没有我们想要的敏感信息,这里我们只去获取所有邮箱列表
有了邮箱列表,我们也就有了准确的用户名字典。
唯品会的邮箱账号构成:名.姓@vipshop.com ,抓取的邮箱列表里也有其完整姓名的文字,我们对其做如下转化:姓名=xingming
最后我们密码字典可以有如下组合
常见弱口令
姓名123
姓名@123
姓名123456
姓名@123456
Vipshop123
姓123
姓@123
姓123456
姓@123456
Vipshop@123
....等等
自己写爆破脚本的好处就在于可以随意按照自己的规则组合密码字典
爆破结果如下:



mask 区域


*****: yuqi*****
***** : jujia*****
*****: plc*****
*****kd.com.cn*****
*****om : yucong*****
*****shop.com :*****
*****com.cn : z*****
*****hop.com :*****
*****shop.com *****
*****.com : V*****
*****vipshop.co*****
*****pshop.com *****
*****shop.com :*****
***** : li@123456*****
*****p.com : p*****
*****shop.com :*****
*****shop.com :*****
*****shop.com :*****


登陆各个邮箱进行查找及收集信息
找到了vpn地址:https://vpn-gz.vip.com/por/login_psw.csp
就用这个账号登陆试试[Y]:rone.li@vipshop.com : li@123456 项目经理

mask 区域 
*****密码:*****


屏幕快照 2015-01-26 下午4.10.23.png


至此轻松进入内网

漏洞证明:

屏幕快照 2015-01-26 上午12.18.10.png


屏幕快照 2015-01-26 下午12.47.42.png


屏幕快照 2015-01-26 下午12.48.32.png


屏幕快照 2015-01-26 下午12.51.34.png

屏幕快照 2015-01-26 下午12.52.12.png

屏幕快照 2015-01-26 下午1.02.11.png

屏幕快照 2015-01-26 下午1.58.58.png


屏幕快照 2015-01-26 下午2.01.46.png


屏幕快照 2015-01-26 下午2.02.57.png


屏幕快照 2015-01-26 下午2.04.21.png


屏幕快照 2015-01-26 下午2.05.34.png


屏幕快照 2015-01-26 下午2.06.25.png


屏幕快照 2015-01-26 下午2.18.41.png


屏幕快照 2015-01-26 下午2.20.54.png


屏幕快照 2015-01-26 下午3.21.47.png


外网的:

屏幕快照 2015-01-26 下午4.27.09.png


有收集到的信息 同样可以在内网爆破等
一次的信息收集 之后再进内网或者其他系统就会变得很容易

修复方案:

邮箱内发现邮件:公共邮箱弱口令整改通知
对存在弱口令的邮箱进行了通知,信息安全人员的策略是好的,可其他同事不够配合呀!

版权声明:转载请注明来源 北京方便面@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-01-26 17:47

厂商回复:

感谢您对唯品会信息安全的支持,非常感谢!

最新状态:

暂无

漏洞评价:

评论

  1. 2015-01-26 16:58 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    对于这种企业来说123456、admin这种弱口令真的少见几乎绝迹了,但密码问题确实永不停歇,新的思路会不断出现。

  2. 2015-01-26 17:00 | he1renyagao ( 普通白帽子 | Rank:225 漏洞数:29 | 是金子总会发光,在还未发光之前,先打磨打...)

    弱口令!!!!

  3. 2015-01-26 17:01 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    弱口令不见得就一定是123456、admin、888888等,研究用户账号密码组成习惯也会是一个突破口

  4. 2015-01-26 17:03 | 猪猪侠 认证白帽子 ( 核心白帽子 | Rank:3224 漏洞数:254 | 你都有那么多超级棒棒糖了,还要自由干吗?)

    死在弱口令上,又是一起悲惨的事故

  5. 2015-01-26 17:06 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    弱口令还是永不停息啊

  6. 2015-01-26 17:06 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    干的漂亮!

  7. 2015-01-26 17:06 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    弱口令...

  8. 2015-01-26 17:07 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    @方便面蜀黍 好厉害的样子

  9. 2015-01-26 17:14 | bitcoin ( 普通白帽子 | Rank:715 漏洞数:218 | 学习是最好的投资!)

    哇哦!好牛!

  10. 2015-01-26 17:48 | 二哥三摆手 ( 路人 | Rank:18 漏洞数:3 | 淡出江湖,专心学习!)

    。。。。

  11. 2015-01-26 17:56 | 帅气小狼狗 ( 路人 | Rank:8 漏洞数:2 | 汪汪汪)

    看到洞主,我就感觉好饿好饿。

  12. 2015-01-26 17:59 | 白开水 ( 普通白帽子 | Rank:242 漏洞数:27 | 苍茫的天涯是我的爱~)

    洞主的漏洞全是¥¥¥啊

  13. 2015-01-26 18:25 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  14. 2015-01-26 18:54 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @帅气小狼狗 方便面是留给妹子“泡”的

  15. 2015-01-26 19:05 | hack雪花 ( 实习白帽子 | Rank:67 漏洞数:18 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    加打雷有钱?多少

  16. 2015-01-26 19:24 | T0ne5 ( 路人 | Rank:2 漏洞数:1 | 搬砖真的很累。)

    /***..*/

  17. 2015-01-26 20:08 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    用弱口令的人都该tjjtds

  18. 2015-01-26 21:02 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    这个大概应该叫“个性化弱口令”

  19. 2015-01-26 23:47 | 苏州同程旅游网络科技有限公司(乌云厂商)

    被“强弱密码”坑过的表示关注

  20. 2015-01-27 10:32 | Blackeagle ( 实习白帽子 | Rank:62 漏洞数:10 | 向WooYun致敬)

    弱口令 容易猜 强口令 又被类似CSDN保存明文密码的厂商泄漏 从而被拿去分析 设密码好难 谁来教教我

  21. 2015-01-27 10:35 | papaver ( 普通白帽子 | Rank:197 漏洞数:35 | 95后,高一学生一枚... 萌萌哒..)

    吼吼 ..... 此处应该有蜡烛... 默哀.... 不怕那啥 就怕那啥....

  22. 2015-01-27 15:08 | 黑吃黑 ( 普通白帽子 | Rank:139 漏洞数:29 | 倚楼听风雨,淡看江湖路...)

    关注

  23. 2015-03-12 17:38 | 盛大网络(乌云厂商)

    求漫游 @北京方便面

  24. 2015-03-12 17:46 | 途牛旅游网(乌云厂商)

    @盛大网络 同求漫游 @北京方便面

  25. 2015-03-12 22:18 | 小杰哥 ( 普通白帽子 | Rank:155 漏洞数:25 | 逆水行舟,不进则退。)

    求字典一份

  26. 2015-03-13 11:20 | 苏州同程旅游网络科技有限公司(乌云厂商)

    看起来是深信服的vpn,为什么不做硬件绑定呢,第一次登录vpn绑定硬件,拿到密码也无法拨入。我们上次也是owa密码被爆破过一次 WooYun: 连环撞库可导致同程内网继续沦陷 ,天天扫弱密码,还是漏了。还好有绑定,要不然也被漫游了。后来干脆一刀切关闭了邮箱的外网访问,其实挺不方便的,我本来想试试这家的双步验证的 https://www.cloudentify.com/portal/@盛大网络 @途牛旅游网 我觉得我们三个人什么时候应该聚一聚,哈。

  27. 2015-03-13 13:40 | 帅气小狼狗 ( 路人 | Rank:8 漏洞数:2 | 汪汪汪)

    好厉害

  28. 2015-04-06 16:47 | PgHook ( 普通白帽子 | Rank:964 漏洞数:115 | ...........................................)

    今天才看到这个漏洞,我只想说干得漂亮。

  29. 2015-05-14 18:50 | _Thorns ( 普通白帽子 | Rank:882 漏洞数:157 | 收wb 1:5 无限量收 [平台担保]))

    owa的规则 对两个强弱口令进行爆破,一般情况下都会有收获。1qaz@WSX !QAZ2wsx

  30. 2015-07-19 17:17 | ucifer ( 普通白帽子 | Rank:156 漏洞数:52 | 萌萌哒~)

    没有永远安全的系统,只有无处不在的弱口令..

  31. 2015-08-02 08:29 | 暗影侠客 ( 路人 | Rank:4 漏洞数:5 | xss,inject,ctrf)

    大侠,你的python脚本能否公布一下呢!