突破重重防护获得进入同程邮箱（iPhone内置接口利用技巧）

同程网的邮件系统

mail.17u.cn

加了双重认证，需要手机动态验证码来验证。

扫描了下端口，也没有开启pop3，也就是说有了账户密码都不能进入邮箱。

怎么办?真的不能突破了？

下面来介绍一个新东西

Microsoft ActiveSync 是基于 Windows Mobile 的设备的最新同步软件版本。ActiveSync 提供了即时可用的与基于 Windows 的个人计算机和 Microsoft Outlook 的良好同步体验。ActiveSync 可充当基于Windows 的个人计算机与基于 Windows Mobile 的设备之间的网关，从而允许您在个人计算机与设备之间传输 Outlook 信息、Office 文档、图片、音乐、视频和应用程序。除了与台式计算机进行同步之外，ActiveSync 还可以直接与 Microsoft Exchange Server 2003同步，从而允许您在离开个人计算机时也能通过无线方式获得最新的电子邮件、日历数据、任务和联系人信息。

通俗来讲就是一个功能接口提供给手机用户方便移动办公

想要使用此服务，比如收发邮件，就去手机上设置

如图

选择exchange然后进行设置

很多人都会想，服务器什么相关邮件服务端口都没开，怎么可能连接上邮件服务器，并且收发邮件？

其实不是，强大的微软早已提供相关接口

注意，域名那里一定要填写域名，这里的域名是windows ad域名，至于域名是什么，需要自己去收集信息。

WooYun: 利用某些漏洞可以重置同程网任意用户密码 这个漏洞里面正好当时正好记录下了内网域名

c:/windows/system32/inetsrv/> net group "domain admins" /domain
 
 这项请求将在域 tcent.cn 的域控制器处理。

填完相关信息，连上wifi，在电脑上抓包

获得认证包

OPTIONS /Microsoft-Server-ActiveSync HTTP/1.1
 Host: mail.17u.com
 Accept-Encoding: gzip, deflate
 Content-Length: 0
 Connection: keep-alive
 Proxy-Connection: keep-alive
 Accept: */*
 User-Agent: Apple-iPhone8C2/1304.15
 Authorization: Basic dHVuaXUtaW5jXHF3ZTpxd2U=
 Accept-Language: zh-cn
 X-MS-PolicyKey: 0

一切搞定，开始放入burp爆破

爆破点在

Authorization: Basic dHVuaXUtaW5jXHF3ZTpxd2U=

这里

被base64编码了，原始格式是

tcent.cn/username

(是一个斜杠，被乌云转码多了一个)

手上刚好遗漏以前的同程的一些用户名，开始爆破

最后成功获得1个用户

yucuilan tcw123

手机连接，成功连接上，但是需要管理员审核貌似，等了几天，成功被开启，哈哈

土豪公司。。

如上所示，同程密码强度现在做的蛮好的，爆破了好久。其实也不能怪同程，微软接口太多了，防不胜防，不过网络管理员审核用户时应该要核实后才能给用户开启邮件服务。想找出更多案列来，可惜满足邮件系统有验证码验证加没开启邮件服务端口条件的公司本来就不多，而且弱口令也爆不出来，一大遗憾。

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2016-04-08 21:25

厂商回复：

感谢关注同程旅游，帐号是有密码策略的，不少于8位，所以我们日常扫描的字典就没有低于8位的。回头看看哪儿出问题了。

最新状态：

暂无

1. 2016-04-08 20:34 | 疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞，心中自然无码。)

   1

   哈哈 不错

   1# 回复此人

2. 2016-04-08 20:35 | Bear baby ( 普通白帽子 | Rank:238 漏洞数:28 | 总感觉我会在哪天突然顿悟。)

   1

   你关注的白帽子 if、so 发表了漏洞 突破重重防护获得进入同程邮箱（iPhone内置接口利用技巧）

   2# 回复此人

3. 2016-04-08 20:39 | 镱鍚 ( 普通白帽子 | Rank:302 漏洞数:42 | 执手岁月留香，唱曲往事飞扬...)

   1

   前排

   3# 回复此人

4. 2016-04-08 20:42 | 紫霞仙子 ( 普通白帽子 | Rank:2302 漏洞数:307 | 没好团队，啥都干不成！！！)

   1

   终极杀招。

   4# 回复此人

5. 2016-04-08 20:43 | DloveJ ( 普通白帽子 | Rank:1427 漏洞数:255 | 专业潜水哒~)

   1

   关注

   5# 回复此人

6. 2016-04-08 20:44 | 从容 ( 普通白帽子 | Rank:415 漏洞数:99 | 哇啦啦啦啦啦 我的宝贝 | ..)

   1

   关注

   6# 回复此人

7. 2016-04-08 20:51 | 数据流 ( 普通白帽子 | Rank:817 漏洞数:100 | 没关系啊，我们还有音乐)

   1

   有意思

   7# 回复此人

8. 2016-04-08 21:03 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)

   1

   原来是这样的啊

   8# 回复此人

9. 2016-04-08 21:04 | 诡道 ( 路人 | Rank:2 漏洞数:1 | 懒得和猪一样)

   1

   .

   9# 回复此人

10. 2016-04-08 21:12 | 随风的风 ( 普通白帽子 | Rank:259 漏洞数:96 | 微信公众号：233sec 不定期分享各种漏洞思...)

    1

    关注

    10# 回复此人

11. 2016-04-08 21:25 | 子非海绵宝宝 ( 核心白帽子 | Rank:1413 漏洞数:148 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)

    1

    牛逼啊

    11# 回复此人

12. 2016-04-08 21:26 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)

    1

    厉害，原来是这样！

    12# 回复此人

13. 2016-04-08 21:31 | 苏州同程旅游网络科技有限公司(乌云厂商)

    1

    狗哥帮忙把充值多少钱那边打个码吧，露财不好→_→

    13# 回复此人

14. 2016-04-08 21:32 | if、so ( 核心白帽子 | Rank:1204 漏洞数:104 | Enjoy Hacking)

    1

    @苏州同程旅游网络科技有限公司 。。。

    14# 回复此人

15. 2016-04-08 21:42 | 孤梦° ( 普通白帽子 | Rank:149 漏洞数:51 )

    1

    你关注的白帽子 if、so 发表了漏洞 突破重重防护获得进入同程邮箱（iPhone内置接口利用技巧）

    15# 回复此人

16. 2016-04-08 22:00 | 苏州同程旅游网络科技有限公司(乌云厂商)

    1

    @if、so 哥你对我们情有独钟啊 为啥就不愿意来呢 过来和Matt他们一起做攻防

    16# 回复此人

17. 2016-04-08 22:03 | if、so ( 核心白帽子 | Rank:1204 漏洞数:104 | Enjoy Hacking)

    1

    。。。一言难尽，保持暧昧挺好的

    17# 回复此人

18. 2016-04-08 22:04 | if、so ( 核心白帽子 | Rank:1204 漏洞数:104 | Enjoy Hacking)

    1

    @苏州同程旅游网络科技有限公司

    18# 回复此人

19. 2016-04-08 23:43 | 高小厨 ( 普通白帽子 | Rank:998 漏洞数:91 | 不会吹牛的小二不是好厨子！)

    1

    膜拜啊

    19# 回复此人

20. 2016-04-09 07:08 | scanf ( 核心白帽子 | Rank:1694 漏洞数:239 | 。)

    1

    膜拜

    20# 回复此人

21. 2016-04-09 11:04 | Mr .LZH ( 普通白帽子 | Rank:622 漏洞数:79 | 非妹子勿扰···)

    1

    @苏州同程旅游网络科技有限公司 挖人太赤裸裸了。。。

    21# 回复此人

22. 2016-04-09 11:06 | 坏男孩-A_A ( 实习白帽子 | Rank:81 漏洞数:23 | 膜拜学习中)

    1

    这人挖的= =

    22# 回复此人

23. 2016-04-09 18:15 | niliu ( 核心白帽子 | Rank:1803 漏洞数:236 | 逆流而上)

    1

    关注新姿势

    23# 回复此人

24. 2016-04-10 21:36 | blnxz ( 实习白帽子 | Rank:55 漏洞数:16 | 为了防止世界被破坏，为了维护世界的和平，...)

    1

    两天不上网，大牛又出新东西了？我发现你字典不错哦

    24# 回复此人

25. 2016-04-11 08:52 | 刘海哥 ( 普通白帽子 | Rank:135 漏洞数:30 | 索要联系方式但不送礼物的厂商定义为无良厂...)

    1

    目测找到泄露的密码然后通过iPhone的自带邮件功能，登录进去绕过了他页面登录需要的手机验证码。

    25# 回复此人

26. 2016-04-11 09:02 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)

    1

    @刘海哥 二次手机短信验证码这个，貌似只要是个客户端的都可以~

    26# 回复此人

27. 2016-04-11 09:08 | if、so ( 核心白帽子 | Rank:1204 漏洞数:104 | Enjoy Hacking)

    1

    @px1624 show case

    27# 回复此人

28. 2016-04-11 09:49 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)

    1

    @if、so WooYun: 网易邮箱某重要邮件系统可绕过邮箱登录二次验证从而登录邮箱 WooYun: 网易邮箱登录二次验证绕过漏洞 WooYun: 网易重要邮件手机验证可成功绕过

    28# 回复此人

29. 2016-04-11 10:16 | if、so ( 核心白帽子 | Rank:1204 漏洞数:104 | Enjoy Hacking)

    1

    和你那不属于一个东西，这是exchange，，邮件端口都没开，知道的人也比较少

    29# 回复此人

30. 2016-04-11 14:58 | 刘海哥 ( 普通白帽子 | Rank:135 漏洞数:30 | 索要联系方式但不送礼物的厂商定义为无良厂...)

    1

    那着能坐等观看了

    30# 回复此人

31. 2016-04-28 22:00 | _Thorns ( 普通白帽子 | Rank:1754 漏洞数:269 | 以大多数人的努力程度之低，根本轮不到去拼...)

    0

    简直6！！！

    31# 回复此人

32. 2016-04-28 22:36 | _Evil ( 普通白帽子 | Rank:431 漏洞数:61 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    0

    @if、so 我还看不到漏洞,难道是调用微软API接口;https收邮件就行了. 短信验证就不知道了.. 但是亲测N次,web登录邮箱是登录不了的;https收取就可以了;微软有API

    32# 回复此人

33. 2016-04-29 09:06 | if、so ( 核心白帽子 | Rank:1204 漏洞数:104 | Enjoy Hacking)

    0

    是一个接口，和你说的不是一个，并且这个也算一个可以暴力破解的接口

    33# 回复此人

34. 2016-04-30 03:29 | _Evil ( 普通白帽子 | Rank:431 漏洞数:61 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    0

    @if、so 666

    34# 回复此人

35. 2016-05-24 09:58 | 妹子快跑 ( 路人 | Rank:4 漏洞数:3 | 世界很大，你还很弱。)

    0

    思路屌屌的

    35# 回复此人

36. 2016-05-24 10:30 | apple ( 路人 | Rank:10 漏洞数:7 | 这个苹果非常懒，只留下一颗果核)

    0

    这个思路真厉害，mark

    36# 回复此人

37. 2016-05-24 22:04 | 三只小潴 ( 路人 | Rank:3 漏洞数:3 | 纯属小白。。。)

    0

    略猥琐

    37# 回复此人

38. 2016-05-31 10:16 | Fvckyou ( 路人 | Rank:16 漏洞数:3 )

    0

    看来洞主已经有更好的漏洞啦。

    38# 回复此人