漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-052015
漏洞标题:申通快递E3集群系统和客服管控系统管理信息泄露
相关厂商:申通快递
漏洞作者: showonder
提交时间:2014-02-25 22:09
修复时间:2014-05-26 22:09
公开时间:2014-05-26 22:09
漏洞类型:用户敏感数据泄漏
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-02-25: 细节已通知厂商并且等待厂商处理中
2014-02-25: 厂商已经确认,细节仅向厂商公开
2014-02-28: 细节向第三方安全合作伙伴开放
2014-04-21: 细节向核心白帽子及相关领域专家公开
2014-05-01: 细节向普通白帽子公开
2014-05-11: 细节向实习白帽子公开
2014-05-26: 细节向公众公开
简要描述:
申通快递E3总部集群系统、客服管控平台系统两个运营核心系统管理信息泄露,可以获得两个系统的客户端最高管理权限,能够对系统内的任意联网信息(按照官网描述:公司耗资近亿元开发"申通E3快递软件系统平台",包括"快递业务系统、数据采集系统、无线GPRS数据采集传输系统、称重计费系统、航空业务管理系统、车辆运营管理系统、客服投诉受理系统、客服呼叫中心系统、电子商务(淘宝业务)接单系统"等”)进行查询修改操作,如被恶意利用可导致整个信息系统瘫痪。并可获得系统内所有用户的登录管理权限。
详细说明:
年前把学校行李寄申通快递寄回家,一个快件近10天没有动静,多次询问发件地申通都回避问题,货品早到达目的地,但派送方既不派送又不主动联系我(地址电话都正确),最后约定派送时间却又不打招呼推迟一天,差点耽误我出行,整个协商网点互相推诿,让人十分窝火。约定派送那天没有派送,多番催促后才同意次日派送,晚上查件的时候无意中发现了申通办公平台的下载区,然后就是下面描述的情况了:
1、申通办公平台的下载区 http://oa.sto.cn/e3oa/down/down.html 中获得“OA升级版”客户端
2、打开客户端后发现保存有上次用户的登录信息,猜测本地存有登录信息
3、在软件根目录下寻找到名为e3net.ini的配置文件,如下图
用户的登录信息以类似Base64形式存储,然而在通过Base64解码得不到正确结果
4、由于在登录框中,部分登录信息明文显示,猜测用户名和密码的编解码规则相同,因此我将网点编号lastloginsitecode的值与lastloginpassword的值进行对调,再次启动客户端,在网点编号未知的Text栏中显示出lastloginpassword解码后的数值
5、尝试用该密码登录,系统登陆成功,进入加载页面(由于客户端版本较老,不能正常使用)。此用户账号密码有效。
6、返回办公平台的下载区页面,下载“申通客服管控平台(2013-3-7更新)”,用该账号密码进行登录,登陆成功。该账号密码所有者为申通信息部员工,拥有申通客服管控平台管理权限。
可以在权限管理中查询到其他管理员的信息,并可以进行用户权限管理、用户增减操作、密码修改等敏感操作。同时可以进行该客服管控平台任意功能的操作。
7、通过用户信息获得申通协同办公平台(http://cos.sto.cn/)的员工登录姓名,通过弱口令进入办公平台,获得最新版E3集群系统
8、利用客管平台的账户信息,组合猜解得到E3系统管理员登陆账号密码,成功登陆E3系统,获取E3全部功能的操作权限,这个危害程度应该很高吧?
9、在E3系统的权限管理中,可以通过能够接受WM_GETTEXT消息的密码查看软件就能够查看到对应窗口的密码信息。在客管平台中也可以采用类似方式获取用户密码
补充说明,顺便测试了网上几个能够下载到的管理客户端,如义务申通的E3平台,配置文件中密码使用Base64编码存储,很容易获取账号密码。
漏洞证明:
修复方案:
1、提高管理员的安全意识,加强密码的管控
2、客户端上更换更好的的本地密码信息存储的加密算法
3、管控远程登录的权限,关注管理后台的异常登录记录
版权声明:转载请注明来源 showonder@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2014-02-25 22:22
厂商回复:
谢谢
最新状态:
暂无