饿了么(外/内网)网络边界可全漫游(已撕进VPN)

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0130015

漏洞标题：饿了么(外/内网)网络边界可全漫游(已撕进VPN)

漏洞作者：殺器王子

提交时间：2015-08-12 15:18

修复时间：2015-09-29 17:42

公开时间：2015-09-29 17:42

漏洞类型：账户体系控制不严

危害等级：高

自评Rank：13

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-08-12：细节已通知厂商并且等待厂商处理中
2015-08-15：厂商已经确认，细节仅向厂商公开
2015-08-25：细节向核心白帽子及相关领域专家公开
2015-09-04：细节向普通白帽子公开
2015-09-14：细节向实习白帽子公开
2015-09-29：细节向公众公开

简要描述：

你是猪么？利用社会工程学攻击拿下一名员工权限````````你能想到的都能撸｀｀｀｀｀

详细说明：

通过某社会工程学手段（钓鱼）拿到了运维部门一名员工的企业邮箱权限后继续扩大战果至多名各部门邮箱权限

根据新上线的饿了么“Aone（费控）系统”
电脑端访问地址：aone.rajax.me:7002（与费控系统为统一访问地址）
默认用户名：邮箱前缀；默认密码：邮箱前缀+身份证后四位

mask 区域

*****^^eleme 密码为：p*****

饿了么默认密码top

mask 区域

*****me51*****
*****234*****
*****lem*****
*****@34*****
*****le1*****

先进内网吧

感觉可以撸你们打印机了｀｀｀｀
内网文件服务器的地址smb://samba.dev.elenet.me/ （IP地址：172.16.10.57）
eleme-5f-dev上网或下载，密码

mask 区域

*****le.*****

ops在办公室搭建了一个samba文件服务，服务器名字是：samba.dev.elenet.me ，各组访问使用共用用户名，各组用户名如下：
产品设计组 pxd
网站开发组 mainsite
前端开发组 frontend
移动端开发组 mobile
后台业务系统组 walis
napos开发组 napos
平台架构组 arch
运维组 ops
自配送业务组 paladin
数据平台组 bigdata
开发环境和生产环境数据库

mask 区域

*****: *****
*****           *****
*****0.24             *****
*****6           *****
*****^eleMe）          *****
*****er  对应产*****
*****^^的eus-ers库        *****
*****     em*****
**********
*****              *****
*****^^址：1*****
*****口： *****
*****e （密码^*****
*****b:  el*****
**********
*****ng:*****
*****mys*****
*****址：172.*****
*****口： *****
*****e （密码^*****
*****对应产品的*****
*****    对应产品*****
*****c            *****
*****    *****
*****esql: *****
*****^址：17*****
*****^口^*****
*****me （密^*****
*****:  ele*****

公网 pac:
http://z.elenet.me/zap.pac
http://z.elenet.me/zapsocks.pac
办公室 pac:
http://zz.elenet.me
http://zz.elenet.me/ofsocks.pac

漏洞证明：

公司打印机ip

京瓷3010i (4楼茶水间)      172.16.10.251
      Brother HL-5450DN series (4楼HR)      172.16.21.253
      HP LaserJet 500 color M551 (5楼原发改委)      172.16.19.253
      京瓷3010i (5楼客服部)      172.16.20.253
      京瓷3010i (5楼培训室)      172.16.18.253
      Brother HL-5450DN series (5楼产品部)      172.16.16.253

并且找到了一个执行脚本

得知net use \\172.16.10.238\IPC$ /user:testhr@elemecn.me zaq12wsX

"\\172.16.10.238\Kyocera CS 3010i (4楼茶水间)"
 "\\172.16.10.238\Kyocera CS 3010i (5楼客服部)"
 "\\172.16.10.238\Kyocera CS 3010i (5楼培训教室)"
 "\\172.16.10.238\Brother HL-5450DN series (5楼产品部)"
 "\\172.16.10.238\Brother HL-5450DN series (4楼HR)"

1万多的邮箱，不一一列举
采集饿了么所有的内外网域名

mask 区域

*****;elene*****
*****enet*****
*****x.ele*****
*****elen*****
*****elen*****
*****ene*****
*****elen*****
*****2.ele*****
*****elen*****
*****.elen*****
*****y.ele*****
*****lene*****
*****net.*****
*****net*****
*****elen*****
*****lenet*****
*****enet*****
*****elene*****
*****lenet*****
*****lenet*****
*****lenet*****
*****elene*****
*****.elen*****
*****lenet*****
*****s.ele*****
*****data.el*****
*****.elen*****
*****lenet*****
*****lenet*****
*****.elen*****
*****enet*****
*****elen*****
*****ce.ele*****
*****.elen*****
*****lenet*****
*****elen*****
*****elene*****
*****.elene*****
*****ice.ele*****
*****b.elen*****
*****.elene*****
*****.elene*****
*****.elen*****
*****ene*****
*****net*****
*****net*****
*****net*****
*****lenet*****
*****lene*****
*****elen*****
*****b.ele*****
*****x.ele*****
*****.elen*****
*****.elen*****
*****r.ele*****
*****xt.ele*****
*****.elen*****
*****.elen*****
*****lenet*****
*****elen*****
*****lenet*****
*****net.*****
*****net*****
*****enet*****
*****elene*****
*****lene*****
*****lene*****
*****elen*****
*****enet*****
*****ene*****
*****enet*****
*****enet*****
*****enet*****
*****lene*****
*****lenet*****
*****elen*****
*****elen*****
*****.elen*****
*****ene*****
*****lene*****
*****lene*****
*****.elen*****
*****net*****
*****elen*****
*****net.*****
*****.elen*****
*****net.*****
*****kend.el*****
*****ols.el*****
*****elen*****
*****s.ele*****
*****.elen*****
*****lene*****
*****lenet*****
*****lenet*****
*****net.*****
*****.elen*****
*****p.ele*****
*****rst.el*****
*****dex.ele*****
*****search.e*****
*****.m*****
*****.ele*****
*****edu.el*****
*****u.ele*****
*****-edu.e*****
*****le.*****
*****le.*****
*****le.*****
*****.ele*****
*****.el*****
*****ele.*****
*****.ele*****
*****.ele*****
*****ele.*****
*****ele.*****
*****p.el*****
*****.el*****
*****.shop.*****
*****hop.e*****
*****du.el*****
*****.ele*****
*****edu.e*****
*****ele.*****
*****op.e*****
*****shop.e*****
*****shop.e*****
*****ele*****
*****i.el*****
*****e.el*****
*****ele.*****
*****p.ele*****
*****e.m*****
*****.ele*****
*****ele*****
*****ele*****
*****e.el*****
*****ele.*****
*****ele*****
*****ele*****
*****ele.*****
*****.el*****
*****ob.e*****
*****le.*****
*****.shop.*****
*****.el*****
*****y.ele*****
*****ele*****
*****.ele*****
*****.el*****
*****ver.e*****
*****.me*****
*****e.m*****
*****ele*****
*****op.el*****
*****t.ele*****
*****.el*****
*****pe.e*****
*****t.el*****
*****p.ele*****
*****i.el*****
*****t.ele*****
*****.el*****
*****.ele*****
*****du.el*****
*****.ele*****
*****edu.e*****
*****.me*****
*****.ele*****
*****tic.el*****
*****.ele*****
*****.me*****
*****.ele*****
*****ele*****
*****.me*****
*****ele.*****
*****ele.*****
*****ele*****
*****.el*****
*****ele*****
*****le.*****
*****le.*****
*****.ele*****
*****ele.*****
*****.ele*****
*****ele.*****
*****shop.*****
*****i.el*****
*****ele.*****
*****.me*****
*****.el*****
*****i.ele*****
*****e.m*****
*****.me*****
*****.el*****
*****.ele*****
*****le.*****
*****ls.e*****
*****ntls._t*****
*****cod*****

然后爆破－－－－－－

mask 区域

*****le.me : *****
*****ele.me *****
*****@ele.me *****
*****ele.me :*****
*****ele.me :*****
*****g@ele.me*****
**********
*****le.me :*****
*****@ele.me :*****
*****@ele.me :*****
*****ele.me :*****
*****@ele.me :*****
*****le.me :*****
*****le.me :*****
*****ele.me :*****
*****le.me : *****
*****e.me : e*****
*****ele.me : *****
*****@ele.me*****
*****@ele.me *****
*****ele.me :*****
*****ele.me :*****
*****@ele.me *****
*****ele.me :*****
*****ng@ele.m*****
*****g@ele.me*****
*****@ele.me *****
*****@ele.me *****
*****@ele.me *****
*****le.me :*****
*****@ele.me*****
*****ele.me :*****
*****@ele.me *****
*****ele.me *****
*****le.me :*****
*****le.me *****
*****@ele.me *****
*****@ele.me*****
*****ele.me :*****
*****le.me :*****
*****ele.me :*****
*****@ele.me *****
*****@ele.me *****
*****ele.me :*****
*****g@ele.me*****

修复方案：

版权声明：转载请注明来源殺器王子@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2015-08-15 17:41

厂商回复：

感谢对饿了么的关注和支持，稍后会将礼品送上。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0130015

漏洞标题：饿了么(外/内网)网络边界可全漫游(已撕进VPN)

相关厂商：饿了么

漏洞作者：殺器王子

提交时间：2015-08-12 15:18

修复时间：2015-09-29 17:42

公开时间：2015-09-29 17:42

漏洞类型：账户体系控制不严

危害等级：高

自评Rank：13

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源殺器王子@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0130015

漏洞标题：饿了么(外/内网)网络边界可全漫游(已撕进VPN)

相关厂商：饿了么

漏洞作者： 殺器王子

提交时间：2015-08-12 15:18

修复时间：2015-09-29 17:42

公开时间：2015-09-29 17:42

漏洞类型：账户体系控制不严

危害等级：高

自评Rank：13

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0130015"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 殺器王子@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：殺器王子

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源殺器王子@乌云