当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0197758

漏洞标题:韵达快递内部系统漫游

相关厂商:韵达快递

漏洞作者: T-Safe

提交时间:2016-04-18 12:17

修复时间:2016-06-04 20:10

公开时间:2016-06-04 20:10

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-04-18: 细节已通知厂商并且等待厂商处理中
2016-04-20: 厂商已经确认,细节仅向厂商公开
2016-04-30: 细节向核心白帽子及相关领域专家公开
2016-05-10: 细节向普通白帽子公开
2016-05-20: 细节向实习白帽子公开
2016-06-04: 细节向公众公开

简要描述:

0x0: 渗透方向
首先确定我们这次的渗透的方向。
目标:韵达快递。
目的:物流信息。
Why:了解一下,我们信息泄露的难易程度。

详细说明:

0x1: 资产收集
确定目标好之后,下面就是做一个整体的信息收集了。
将目标企业的资产尽可能的全部挖掘出来。
这里面的资产,除了常见的子域名,ip,还应该有跟企业相关的各种信息。
先来确定韵达的域名
yundaex.com
yundasys.com
确定好域名之后。
来一次基本的信息收集。
子域名爆破。
端口扫描。
把企业开放的服务 , 做一个统计。
然后去找各种敏感信息。
最简单直接的就是谷歌百度一下

图片 1.png


没发现什么敏感信息。

图片 2.png


一眼望去 就发现了大量的后台。
然后把这些后台和上面子域名以及ip的信息进行一次汇总。
然后就是看下,企业的邮箱。
这里需要注意: 有的企业 邮箱并不是 用的网站的域名,有可能用的其他的域名。
先去看看 企业的域名mx记录 有没有设置

图片 3.png


图片 4.png


上面可以看到两个域名都是设置了 企业邮箱的。
然后去从域名中搜索一下mail关键字。
企业网站中会有一些 招聘,或者联系我们。
会有关键字 email mail to等等。

图片 1.png


除了直接谷歌搜索,还应该去 网站简单看一下联系我们,招聘等等会泄露出企业员工或者其他信息的一些地方。

图片 1.png


以及去github搜索一下企业有没有泄露敏感信息,
最简单的就是搜索邮箱。

图片 1.png


账号密码可用。
不过在里面没找到什么敏感的东西。(修复的时候记得通知员工修改掉)
上面的信息收集完了, 还应该去百度谷歌一下企业的内部文档。
以及一些规范,流程,文化,软件等等。 这样的话,可以帮助我们更快的了解目标企业,从而快速准确的找到痛点。
再就是如果可以的话 ,打入敌人内部!
我先注册了一个新qq号。
然后设计了一下qq资料 。
去尝试加一些韵达的内部群。

图片 1.png


qq昵称一定要具有通用性 ,签名的地方,避免群主看起来怀疑,加了一句描述。
信息收集这一步很重要,根据收集的信息,可以得知如何尽快的找到一个入口点。
0x2 入口点
下面就要找一个入口点。 去尝试撕开这个口子。
撕口子 最简单的 就是vpn了。
上去之后直接内网漫游。
如果vpn不了,那就只能想办法拿网站权限了。
而且,这次目标是想办法看到快递的信息,如果再去找一些网站的xss,sql等漏洞,会导致整体的一个流程变长。所以尽量从vpn等可以直接进入内网的地方入手。
找入口点的时候,应该吧之前收集到的信息,做一个整理,然后找一个比较简单快速的的。
通过上面我加的qq内部群, 里面获取到了 一个客户端。

图片 1.png


然后 安装好之后打开。

图片 1.png


必须要vpn进内网。
然后通过软件上面的vpn按钮打开网站 。

图片 1.png


下载一份vpn客户端 。

图片 1.png


最喜欢这种帮助文档了。

图片 1.png


安装好之后, 下面就是需要 如何弄到一个vpn账号密码了。
从帮助文档中看到一句这个话。

图片 1.png


也就是 他们整体 只有两套密码。
这样的话 , 对于我们找到vpn的账号密码就会简单点。
不过后来又看到这个,

图片 1.png


看到上面那个密码, 直接感觉,vpn入手会难了。
不过这么大的企业,总会有”队友”的。
另外还发现了一份这个 。

图片 1.png


又可以去整合到我们之前收集到的信息里面。
至于如何拿到一个企业员工的账号密码。
最简单的方法就是通过 网站登录口 去尝试爆破。
后台的话 ,我们之前收集到了一些。
下面就是挑出来一个质量比较好的。
能快速爆破的话 。
首先可以判断用户名存在不存在, 然后可以绕过验证码等问题。
发现。韵达上面 后台基本上都满足。。。。。。。(建议自行把所有的网站登录的地方过一遍,看看是否可以进行爆破。)
屡一下思路, 整理一下之前的东西。
想进网点客户端,就要进vpn。 进vpn的话 就要拿到网点的账号密码。
Ok ,下面就是找一个 好用的后台, 去爆破账号密码
通过之前的信息收集,发现了一个后台。
Vpn账号管理,如果可以进去的话 , 是否可以修改vpn的一些信息,从而进入内网。

图片 1.png


不过遗憾的是, 这个账号应该是一个已经注销的账号。
并不会发送出来密码。
所以只能重新爆破。
这次选取一个强弱口令 Yunda123
很快又出来一个。
登陆上去上面那个 vpn管理系统之后,发现发送vpn密码的时候会校验是否跟设置的手机号是否一致。
当时感觉这个后台是不行了。
应该无法从这获取到vpn密码了。
然后想到,既然他的oa系列的密码是Yunda123,那么他的vpn的密码也有可能是。
果然,成功登陆内网。
0x3 深入
通过上面,我们已经成功登陆内网。
然后去尝试登陆 我们之前拿到的网点客户端 。

图片 1.png


他会有一个mac地址校验。
用来查看我电脑的mac地址和数据库中的电脑信息是否一致。
简单尝试了一下这个客户端,无法绕过。
然后去找一些其他的端,例如手机app等,也没找到。
由于不会二进制,这条路也就断了。
然后去登陆内部oa系统。
Oa是从vpn帮助文档中发现的。

图片 1.png


虽然有一些信息,但是跟咱们的目标没什么联系,
很鸡肋。
不过发现了他们员工的工号 以及部门信息。整个企业的架构。还有员工信息。

图片 1.png


虽然很严重。 但是跟咱们的目标还是没联系。哎。
只能进一步找其他的突破点。
把之前信息收集到的后台拿出来看看。 挨个登陆试试。
后台的话 , 由于有的账号没权限。 所以根据oa中泄露的员工工号格式又爆破了一批账号密码出来。
登陆上去之后虽然发现了各种敏感信息, 不过没什么用。无法查看到物流信息。
(这里体现了韵达的一个大问题,权限控制不严格,一套登陆体系,但是大部分后台没有限制用户的权限,就可以导致,一个网店的员工,就可以登陆到你们的后台。)
然后去尝试 之前从帮助文档中泄露的 那些host,
尝试了一遍之后发现, 这些功能点,都不在根目录。
也就是 我们还需要再猜一次目录。
这样的话,成本会高很多。
暂时放弃,也先放在一边。
后来 整理了一下思路,觉得肯定有漏掉的地方, 前面收集到的后台太多。
看的并不仔细。
重新看了一遍。
登陆这个系统之后。

图片 1.png


之前看到只有一个历史版本信息。就扔掉了。

图片 1.png


这次发现了 居然有总部版。 当时就觉得 一定有货。
不过网站并没有给出明确的下载地址。

图片 1.png


然后想了想 觉得不应该没有下载地址。
尝试了一下 跟网站的目录的url进行拼接。
果然可以下载。

图片 1.png


当时就感觉貌似从这 直接可以炸了 。

图片 1.png


发现还是会校验MAC地址。

但是不死心,还是去尝试登陆了试试。
直接登陆成功,居然没有校验MAC地址

图片 1.png


看到这些功能,感觉貌似目标要达成了。
不过打开的时候发现账号权限太低。许多功能无法看到。
然后把之前爆破出来的账号密码挨个尝试登陆进去
看到这个功能点。感觉直接炸了。

图片 1.png


图片 1.png


下面的信息泄露截图,不只是一个账号。各种账号的权限不同。
淘宝网当月订单,这个功能应该是实时分配到不同地区网点的订单。所以各个网店的订单数量不大,爆破出来的账号也没太高权限的。

图片 1.png


淘宝物流宝的订单。手机号进行了部分打码。

图片 1.png


看到只有4k条感觉不对。
跳到最后一页, 下单时间

图片 1.png


以及最后一页的下单时间

图片 1.png


看来这只是1天的实时数据量。了然了。 全部都是新鲜出炉的。
还可以查询历史订单,不过需要单号,就算了。
再去看一些别的功能的订单信息
居然手机号都不打码了、

图片 1.png


图片 1.png


等等等等、
现在拿到的账号,基本上每天都能拿到1w+条新鲜的物流信息。
哎。
另外这个平台的 全部 合作商家账号密码居然明文显示。。。。。。。

图片 1.png


也就没有具体登陆测试。
各种平台
虽然部分平台没找到有权限的账号, 不过大部分都是可以进去的。

图片 1.png


图片 1.png


图片 1.png


图片 1.png


图片 1.png


0x4. 到此为止
既然目标已经达到了,
就不继续深入了。
我觉得渗透 必须要把握好这两点。
1. 知道自己要干什么,有目标,另外点到为止。
2. 认定收集到的每一个细节都有用。尽可能的把收集到的信息,资源最大化。

漏洞证明:

up
总部端 exe 部分就没有校验mac地址
下面是测试过程中的一些信息 url 密码

mask 区域
1.http://**.**.**/wsd/kjcx/cxend.jspwen=59423c58ef489b5196063804e9&jmm=cd6ecc2aa1ec1b39fcfdda350b876b5b_
*****^感^*****
**********
2.http://**.**.**/ydvpn/login.html vpn账号管理_
**********
**********
*****123 VP*****
*****01 *****
*****100*****
**********
3.http://**.**.**/ydsoa/cas.loginCASLOGOUT=true_
4.http://**.**.**/wpassport/login.php_
5.http://**.**.**/index/index.do_
6.http://**.**.**/ydauth/index.html_
*****到的^*****
**********
7.http://**.**.**/cus_order/_
*****pass='*****
**********
8.http://**.**.**/cus_order/_
*****p;passwor*****
**********
*****rder/order_interface/int*****
*****0/cus_order/order_interf*****
*****d=1547*****
*****FdRyj6bYBE*****
*****ion=*****
*****est=*****
*****el=cance*****
**********
**********
**********
**********
9.http://**.**.**/dipper/!!!!!!!!!!_
10.http://**.**.**/dipper/_
11.http://**.**.**/ydtms/login.do_
12.http://**.**.**/zpassport/login.php_
*****;pass=Yun*****
*****mp;pass=*****
13.http://**.**.**/yd_khd/login.php_
*****assword=*****
*****395&passw*****
*****d=Yunda123 *****
*****password*****
*****;passwor*****
*****rd=1qaz2wsx *****
**********
**********
**********
*****^^单号^*****
14.http://**.**.**/wsd/kjcx/cxend.jspwen=cca905557152dc59c05452a336&jmm=d41d8cd98f00b204e9800998ecf8427e_
**********
15.http://**.**.**/gswh/login.php_
**********
*****可下载*****
16.http://**.**.**/yd_khd


修复方案:

说下修复方面的事情吧。
员工太多,弱口令的问题,虽然不可能避免,但是也应该尽可能的做一些措施。
清除弱口令的时候 除了123456这种常见的弱口令, 还应该考虑一些跟企业有关系的强弱口令。
vpn这种东西, 二次认证吧 。或者密码直接用发送到手机上面,不允许修改。
各种不应该放在外网的后台移动到内网。
账号的权限限制严格。有的后台,不是一个部门,都有权限看。

版权声明:转载请注明来源 T-Safe@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2016-04-20 20:06

厂商回复:

正在修复。

最新状态:

暂无


漏洞评价:

评价

  1. 2016-04-18 12:19 | %23D0n9 ( 实习白帽子 | Rank:46 漏洞数:8 | "><)

    就是叼

  2. 2016-04-18 13:14 | 隔壁小王 ( 普通白帽子 | Rank:111 漏洞数:30 )

    前排

  3. 2016-04-18 13:29 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1393 漏洞数:147 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    网络安全的核心目的

  4. 2016-04-18 17:33 | 静默 ( 路人 | Rank:9 漏洞数:7 | 安全小白)

    坐等公开看细节

  5. 2016-04-19 08:47 | Dotaer ( 路人 | Rank:22 漏洞数:6 | 多学习,多挖洞!)

    弱密码进去的?

  6. 2016-05-10 22:17 | _Thorns ( 普通白帽子 | Rank:1725 漏洞数:265 | 以大多数人的努力程度之低,根本轮不到去拼...)

    很清晰,