当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0194034

漏洞标题:突破重重防护获得进入同程邮箱(iPhone内置接口利用技巧)

相关厂商:苏州同程旅游网络科技有限公司

漏洞作者: if、so

提交时间:2016-04-08 20:34

修复时间:2016-05-23 21:30

公开时间:2016-05-23 21:30

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-04-08: 细节已通知厂商并且等待厂商处理中
2016-04-08: 厂商已经确认,细节仅向厂商公开
2016-04-18: 细节向核心白帽子及相关领域专家公开
2016-04-28: 细节向普通白帽子公开
2016-05-08: 细节向实习白帽子公开
2016-05-23: 细节向公众公开

简要描述:

防不胜防,一个攻击新姿势,终极杀招。

详细说明:

同程网的邮件系统

mail.17u.cn


1111.png


加了双重认证,需要手机动态验证码来验证。
扫描了下端口,也没有开启pop3,也就是说有了账户密码都不能进入邮箱。
怎么办?真的不能突破了?
下面来介绍一个新东西

Microsoft ActiveSync 是基于 Windows Mobile 的设备的最新同步软件版本。ActiveSync 提供了即时可用的与基于 Windows 的个人计算机和 Microsoft Outlook 的良好同步体验。ActiveSync 可充当基于Windows 的个人计算机与基于 Windows Mobile 的设备之间的网关,从而允许您在个人计算机与设备之间传输 Outlook 信息、Office 文档、图片、音乐、视频和应用程序。除了与台式计算机进行同步之外,ActiveSync 还可以直接与 Microsoft Exchange Server 2003同步,从而允许您在离开个人计算机时也能通过无线方式获得最新的电子邮件、日历数据、任务和联系人信息。


通俗来讲就是一个功能接口提供给手机用户方便移动办公
想要使用此服务,比如收发邮件,就去手机上设置
如图

1111.png


2222.jpg


选择exchange然后进行设置
很多人都会想,服务器什么相关邮件服务端口都没开,怎么可能连接上邮件服务器,并且收发邮件?
其实不是,强大的微软早已提供相关接口
注意,域名那里一定要填写域名,这里的域名是windows ad域名,至于域名是什么,需要自己去收集信息。

2222.jpg


WooYun: 利用某些漏洞可以重置同程网任意用户密码 这个漏洞里面正好当时正好记录下了内网域名

c:\windows\system32\inetsrv\> net group "domain admins" /domain
这项请求将在域 tcent.cn 的域控制器处理。


填完相关信息,连上wifi,在电脑上抓包
获得认证包

OPTIONS /Microsoft-Server-ActiveSync HTTP/1.1
Host: mail.17u.com
Accept-Encoding: gzip, deflate
Content-Length: 0
Connection: keep-alive
Proxy-Connection: keep-alive
Accept: */*
User-Agent: Apple-iPhone8C2/1304.15
Authorization: Basic dHVuaXUtaW5jXHF3ZTpxd2U=
Accept-Language: zh-cn
X-MS-PolicyKey: 0


一切搞定,开始放入burp爆破

1111.png


爆破点在

Authorization: Basic dHVuaXUtaW5jXHF3ZTpxd2U=

这里
被base64编码了,原始格式是

tcent.cn\username

(是一个斜杠,被乌云转码多了一个)
手上刚好遗漏以前的同程的一些用户名,开始爆破
最后成功获得1个用户
yucuilan tcw123
手机连接,成功连接上,但是需要管理员审核貌似,等了几天,成功被开启,哈哈

1111.png


1111.png


土豪公司。。

漏洞证明:

如上所示,同程密码强度现在做的蛮好的,爆破了好久。其实也不能怪同程,微软接口太多了,防不胜防,不过网络管理员审核用户时应该要核实后才能给用户开启邮件服务。想找出更多案列来,可惜满足邮件系统有验证码验证加没开启邮件服务端口条件的公司本来就不多,而且弱口令也爆不出来,一大遗憾。

修复方案:

版权声明:转载请注明来源 if、so@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2016-04-08 21:25

厂商回复:

感谢关注同程旅游,帐号是有密码策略的,不少于8位,所以我们日常扫描的字典就没有低于8位的。回头看看哪儿出问题了。

最新状态:

暂无

漏洞评价:

评价

  1. 2016-04-08 20:34 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    哈哈 不错

  2. 2016-04-08 20:35 | Bear baby ( 普通白帽子 | Rank:238 漏洞数:28 | 总感觉我会在哪天突然顿悟。)

    你关注的白帽子 if、so 发表了漏洞 突破重重防护获得进入同程邮箱(iPhone内置接口利用技巧)

  3. 2016-04-08 20:39 | 镱鍚 ( 普通白帽子 | Rank:265 漏洞数:34 | 。。!)

    前排

  4. 2016-04-08 20:42 | 紫霞仙子 认证白帽子 ( 普通白帽子 | Rank:2302 漏洞数:307 | 长期招聘安全测试人员,熟悉or精通python,...)

    终极杀招。

  5. 2016-04-08 20:43 | DloveJ ( 普通白帽子 | Rank:1427 漏洞数:255 | 专业潜水哒~)

    关注

  6. 2016-04-08 20:44 | 从容 ( 普通白帽子 | Rank:389 漏洞数:96 | 管你有多么失措 别再叫我。 | Tr3jer@Gma...)

    关注

  7. 2016-04-08 20:51 | 数据流 认证白帽子 ( 普通白帽子 | Rank:817 漏洞数:100 | 没关系啊,我们还有音乐)

    有意思

  8. 2016-04-08 21:03 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)

    原来是这样的啊

  9. 2016-04-08 21:04 | 诡道 ( 路人 | Rank:2 漏洞数:1 | 懒得和猪一样)

    .

  10. 2016-04-08 21:12 | 随风的风 ( 普通白帽子 | Rank:244 漏洞数:94 | 微信公众号:233sec 不定期分享各种漏洞思...)

    关注

  11. 2016-04-08 21:25 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1393 漏洞数:147 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    牛逼啊

  12. 2016-04-08 21:26 | px1624 ( 普通白帽子 | Rank:1137 漏洞数:198 | px1624)

    厉害,原来是这样!

  13. 2016-04-08 21:31 | 苏州同程旅游网络科技有限公司(乌云厂商)

    狗哥帮忙把充值多少钱那边打个码吧,露财不好→_→

  14. 2016-04-08 21:32 | if、so 认证白帽子 ( 核心白帽子 | Rank:1199 漏洞数:103 | Enjoy Hacking)

    @苏州同程旅游网络科技有限公司 。。。

  15. 2016-04-08 21:42 | 孤梦° ( 普通白帽子 | Rank:143 漏洞数:48 )

    你关注的白帽子 if、so 发表了漏洞 突破重重防护获得进入同程邮箱(iPhone内置接口利用技巧)

  16. 2016-04-08 22:00 | 苏州同程旅游网络科技有限公司(乌云厂商)

    @if、so 哥你对我们情有独钟啊 为啥就不愿意来呢 过来和Matt他们一起做攻防

  17. 2016-04-08 22:03 | if、so 认证白帽子 ( 核心白帽子 | Rank:1199 漏洞数:103 | Enjoy Hacking)

    。。。一言难尽,保持暧昧挺好的

  18. 2016-04-08 22:04 | if、so 认证白帽子 ( 核心白帽子 | Rank:1199 漏洞数:103 | Enjoy Hacking)

    @苏州同程旅游网络科技有限公司

  19. 2016-04-08 23:43 | 高小厨 认证白帽子 ( 普通白帽子 | Rank:978 漏洞数:90 | 不会吹牛的小二不是好厨子!)

    膜拜啊

  20. 2016-04-09 07:08 | scanf ( 核心白帽子 | Rank:1621 漏洞数:221 | 。)

    膜拜

  21. 2016-04-09 11:04 | Mr .LZH ( 普通白帽子 | Rank:622 漏洞数:79 | 非妹子勿扰···)

    @苏州同程旅游网络科技有限公司 挖人太赤裸裸了。。。

  22. 2016-04-09 11:06 | 坏男孩-A_A ( 实习白帽子 | Rank:81 漏洞数:23 | 膜拜学习中)

    这人挖的= =

  23. 2016-04-09 18:15 | niliu 认证白帽子 ( 核心白帽子 | Rank:1739 漏洞数:229 | 逆流而上)

    关注新姿势

  24. 2016-04-10 21:36 | blnxz ( 实习白帽子 | Rank:55 漏洞数:16 | 为了防止世界被破坏,为了维护世界的和平,...)

    两天不上网,大牛又出新东西了?我发现你字典不错哦

  25. 2016-04-11 08:52 | 刘海哥 ( 普通白帽子 | Rank:135 漏洞数:30 | 索要联系方式但不送礼物的厂商定义为无良厂...)

    目测找到泄露的密码然后通过iPhone的自带邮件功能,登录进去绕过了他页面登录需要的手机验证码。

  26. 2016-04-11 09:02 | px1624 ( 普通白帽子 | Rank:1137 漏洞数:198 | px1624)

    @刘海哥 二次手机短信验证码这个,貌似只要是个客户端的都可以~

  27. 2016-04-11 09:08 | if、so 认证白帽子 ( 核心白帽子 | Rank:1199 漏洞数:103 | Enjoy Hacking)

    @px1624 show case

  28. 2016-04-11 09:49 | px1624 ( 普通白帽子 | Rank:1137 漏洞数:198 | px1624)

    @if、so WooYun: 网易邮箱某重要邮件系统可绕过邮箱登录二次验证从而登录邮箱 WooYun: 网易邮箱登录二次验证绕过漏洞 WooYun: 网易重要邮件手机验证可成功绕过

  29. 2016-04-11 10:16 | if、so 认证白帽子 ( 核心白帽子 | Rank:1199 漏洞数:103 | Enjoy Hacking)

    和你那不属于一个东西,这是exchange,,邮件端口都没开,知道的人也比较少

  30. 2016-04-11 14:58 | 刘海哥 ( 普通白帽子 | Rank:135 漏洞数:30 | 索要联系方式但不送礼物的厂商定义为无良厂...)

    那着能坐等观看了

  31. 2016-04-28 22:00 | _Thorns ( 普通白帽子 | Rank:1712 漏洞数:261 | 老司机发车污污污污污污!)

    简直6!!!

  32. 2016-04-28 22:36 | _Evil ( 普通白帽子 | Rank:431 漏洞数:61 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    @if、so 我还看不到漏洞,难道是调用微软API接口;https收邮件就行了.短信验证就不知道了.. 但是亲测N次,web登录邮箱是登录不了的;https收取就可以了;微软有API

  33. 2016-04-29 09:06 | if、so 认证白帽子 ( 核心白帽子 | Rank:1199 漏洞数:103 | Enjoy Hacking)

    是一个接口,和你说的不是一个,并且这个也算一个可以暴力破解的接口

  34. 2016-04-30 03:29 | _Evil ( 普通白帽子 | Rank:431 漏洞数:61 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    @if、so 666