锦江之星账户体系不严导致集团全部人员邮箱泄露(附outlook联系人下载办法)

  • 内容
  • 相关

漏洞详情

披露状态:

 

2016-04-23: 细节已通知厂商并且等待厂商处理中
2016-04-25: 厂商已经确认,细节仅向厂商公开
2016-05-05: 细节向核心白帽子及相关领域专家公开
2016-05-15: 细节向普通白帽子公开
2016-05-25: 细节向实习白帽子公开
2016-06-09: 细节向公众公开

简要描述:

总会有一两个弱口令的,有一两个又会引出后续更多的问题,[email protected]大牛的教育

详细说明:

https://mail.jj-inn.com/owa/

锦江之星的邮件系统,看了一下以前的漏洞,似乎很少有关于锦江之星邮箱弱口令的,基本上都是SQL注入类的,今天找到一枚弱口令邮箱

code 区域
[email protected]



看到跳转了,跳到了重置密码的页面,后来在邮箱里面发现有一个90天的周期,周期结束,强制更改密码,我估计这个账号已经很久没有人登陆了

锦江之星1.png



锦江之星2.png



密码制度.png



重置密码为:adm!n123,OK了

shouye.png



邮箱有很多关于账号密码的邮件,且大部分都是弱口令

密码.png



重置密码.png



后面发现很多账号使用的是1qaz2wsx,111111,a12345等弱口令(当然不是邮箱账号,而是分配给代理商的账号和密码)

1.png



2.png



3.png



code 区域
https://220.196.57.152:442/por/service.csp vpn地址



使用账号密码登陆,没有vpn权限,看来还得找运维的人才是靠谱。

vpn.png

 

漏洞证明:

下面开始重点,就是outlook web app的联系人导出问题

这个问题,[email protected]大牛,他告诉我,看一下这篇

code 区域
 WooYun: 视频网站安全之优酷土豆账户体系控制不严引发内网漫游(涉及后台\云平台主站\内部商城全部源码\100台服务器权限和数据库信息等) 



每个联系人都有一个特别的ID,如下面

id.png



按分组,找到全部员工然后保存网页到本地

code 区域
https://mail.jj-inn.com/owa/?ae=Item&a=Open&t=ADDistList&id=K15rPYxhC0OQKMpSvP7uPw%3d%3d&pspid=_1461300333450_341817680



自己写一个脚本程序,使用正则表达式将id提取出来,共计3000多个id

id3062.png



由于变成不是很好,试着使用脚本访问https,一直出错,verify设置为False也不行,求教育。

这条路子封了,我们还有别的路,对了burp suite,设置变量,将提出的id导入burp中,开跑了

code 区域
页面get包
GET /owa/?ae=Item&a=Open&t=AD.RecipientType.User&id=§xvJJGKCHR0ayfdGVbJhkvw%3d%3d§&pspid=_1461299763468_260363118 HTTP/1.1
Host: mail.jj-inn.com
Connection: keep-alive
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.154 Safari/537.36 LBBROWSER
Accept-Encoding: gzip, deflate, sdch
Accept-Language: zh-CN,zh;q=0.8
Cookie: MstrPgLd1=1; MstrPgLd2=1; OutlookSession=15b24012de8a4933869***909a092192; PBack=0; cadata="0mAqYK1o8RGO0J5O4f****8xJ2CoQkT+7xsdJ2XlPt3*****5zfJzlaAzk3IYW8KZCamJPaLIj0Q0wwW+***FDQ=="; sessionid=8c87b22b-1****6-4a23-9073-1ee0d78f6b3f; UserContext=I8fkTxI27kWUL-lZbr2cp8z4piBDcNMIBjGhfTfhzZ7S73u99o-2vRYCXR8wJ6ELYTv***Gq1bk.; tzid=China Standard Time; owacsdc=1



使用burp中的正则表达式提取邮箱

burp.png



很顺利拿到了全部邮箱

邮箱.png

 

修复方案:

增强员工安全意识

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2016-04-25 10:10

厂商回复:

已确认,感谢提醒

最新状态:

暂无


本文标签:

版权声明:若无特殊注明,本文皆为《安三》原创,转载请保留文章出处。『鹦鹉搜索』

百度收录:百度已收录『查看详情』

本文链接:锦江之星账户体系不严导致集团全部人员邮箱泄露(附outlook联系人下载办法) - https://www.15qq.cn/wooyun/1007.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

允许邮件通知