当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0199524

漏洞标题:锦江之星账户体系不严导致集团全部人员邮箱泄露(附outlook联系人下载办法)

相关厂商:锦江之星旅馆有限公司

漏洞作者: 路人甲

提交时间:2016-04-23 00:54

修复时间:2016-06-09 10:20

公开时间:2016-06-09 10:20

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-04-23: 细节已通知厂商并且等待厂商处理中
2016-04-25: 厂商已经确认,细节仅向厂商公开
2016-05-05: 细节向核心白帽子及相关领域专家公开
2016-05-15: 细节向普通白帽子公开
2016-05-25: 细节向实习白帽子公开
2016-06-09: 细节向公众公开

简要描述:

总会有一两个弱口令的,有一两个又会引出后续更多的问题,更严重。感谢@HackBraid 大牛的教育

详细说明:

https://mail.jj-inn.com/owa/
锦江之星的邮件系统,看了一下以前的漏洞,似乎很少有关于锦江之星邮箱弱口令的,基本上都是SQL注入类的,今天找到一枚弱口令邮箱

gufang/1qaz@WSX


看到跳转了,跳到了重置密码的页面,后来在邮箱里面发现有一个90天的周期,周期结束,强制更改密码,我估计这个账号已经很久没有人登陆了

锦江之星1.png


锦江之星2.png


密码制度.png


重置密码为:adm!n123,OK了

shouye.png


邮箱有很多关于账号密码的邮件,且大部分都是弱口令

密码.png


重置密码.png


后面发现很多账号使用的是1qaz2wsx,111111,a12345等弱口令(当然不是邮箱账号,而是分配给代理商的账号和密码)

1.png


2.png


3.png


https://220.196.57.152:442/por/service.csp vpn地址


使用账号密码登陆,没有vpn权限,看来还得找运维的人才是靠谱。

vpn.png

漏洞证明:

下面开始重点,就是outlook web app的联系人导出问题
这个问题,我请教了@HackBraid 大牛,他告诉我,看一下这篇

 WooYun: 视频网站安全之优酷土豆账户体系控制不严引发内网漫游(涉及后台\云平台主站\内部商城全部源码\100台服务器权限和数据库信息等) 


每个联系人都有一个特别的ID,如下面

id.png


按分组,找到全部员工然后保存网页到本地

https://mail.jj-inn.com/owa/?ae=Item&a=Open&t=ADDistList&id=K15rPYxhC0OQKMpSvP7uPw%3d%3d&pspid=_1461300333450_341817680


自己写一个脚本程序,使用正则表达式将id提取出来,共计3000多个id

id3062.png


由于变成不是很好,试着使用脚本访问https,一直出错,verify设置为False也不行,求教育。
这条路子封了,我们还有别的路,对了burp suite,设置变量,将提出的id导入burp中,开跑了

页面get包
GET /owa/?ae=Item&a=Open&t=AD.RecipientType.User&id=§xvJJGKCHR0ayfdGVbJhkvw%3d%3d§&pspid=_1461299763468_260363118 HTTP/1.1
Host: mail.jj-inn.com
Connection: keep-alive
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.154 Safari/537.36 LBBROWSER
Accept-Encoding: gzip, deflate, sdch
Accept-Language: zh-CN,zh;q=0.8
Cookie: MstrPgLd1=1; MstrPgLd2=1; OutlookSession=15b24012de8a4933869***909a092192; PBack=0; cadata="0mAqYK1o8RGO0J5O4f****8xJ2CoQkT+7xsdJ2XlPt3*****5zfJzlaAzk3IYW8KZCamJPaLIj0Q0wwW+***FDQ=="; sessionid=8c87b22b-1****6-4a23-9073-1ee0d78f6b3f; UserContext=I8fkTxI27kWUL-lZbr2cp8z4piBDcNMIBjGhfTfhzZ7S73u99o-2vRYCXR8wJ6ELYTv***Gq1bk.; tzid=China Standard Time; owacsdc=1


使用burp中的正则表达式提取邮箱

burp.png


很顺利拿到了全部邮箱

邮箱.png

修复方案:

增强员工安全意识

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2016-04-25 10:10

厂商回复:

已确认,感谢提醒

最新状态:

暂无


漏洞评价:

评价

  1. 2016-04-23 12:12 | PgHook ( 普通白帽子 | Rank:1020 漏洞数:123 | Portulaca grandiflora Hook.)

    表示对outlook联系人下载办法感兴趣

  2. 2016-04-25 15:10 | Mark0smith ( 普通白帽子 | Rank:172 漏洞数:70 | 我要是再正常一点就好了)

    感興趣