当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0150613

漏洞标题:控制魅族在线商店突破vpn双因素进入内网(涉及大量用户详细订单/手机IMEI等)

相关厂商:魅族科技

漏洞作者: getshell1993

提交时间:2015-10-30 14:03

修复时间:2015-12-14 11:44

公开时间:2015-12-14 11:44

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-30: 细节已通知厂商并且等待厂商处理中
2015-10-30: 厂商已经确认,细节仅向厂商公开
2015-11-09: 细节向核心白帽子及相关领域专家公开
2015-11-19: 细节向普通白帽子公开
2015-11-29: 细节向实习白帽子公开
2015-12-14: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

人的漏洞实在太可怕了。
双因素认证往往只要有人参与进来,总会有出问题的时候。

详细说明:

邮箱弱口令

mask 区域
*****assword*****
*****assword=%*****
*****ssword=*****
*****assword=*****
*****assword=*****


上回太匆忙没想到好办法没突破vpn,于是这回想到了个好办法。
嗯,大部分员工的vpn是双因素认证的,而且现在手机号也没法直接在mail修改从而来突破双因素,只能想办法从人入手来进一步更改手机号了。

编辑.png


灵机一动邮件里搜索了一下IT,获取到IT部的固定电话。

1.png


鼓起勇气拿起手机拨打了魅族IT部固定电话
电话:0756-6122900(8000)
时间:2015年10月30号中午11点45分
没录音,对话内容大概如下:
嘟嘟嘟…… 几秒后一个男的接电话
IT:喂
我:喂 你好,请问是IT部吗?
IT:不好意思,现在是休息时间。 (………………居然11点45分就休息了)
我:哦,打扰了,我想请问一下现在怎么更改vpn绑定的接收手机号呢?
IT:你发封邮件到IT的邮箱吧,下午帮你更改
我:好的,谢谢(本来想试试直接通过电话看能不能修改,也罢,有了另外一个途径了)
用我自己测试的手机号写了封邮件发到it部

手机号.png


发送后赶紧删除 已免被更快察觉

发送.png


接着就是等待IT部的更改了
13点45分 好消息来了

修改.png


证明已经突破vpn双因素手机验证码那一块问题了
过了几分钟mail里已经同步

突破.png


短信.png


突破2.png


突破1.png

漏洞证明:

下面引发的问题更加严重,也就是标题提到的540万用户详细订单/手机IMEI

商场后台密码邮件.png


http://store-manage.meizu.com/

store.png


于是来到了后台界面

mask 区域
1.http://**.**.**/login/index


但是用获取到的域账号密码无法登陆

login.png


不过登陆处没验证码,直接用密码123456跑一下
<code

mask 区域
*****gfu&pa*****
*****mp;passwo*****
*****&pass*****
*****amp;passw*****
*****mp;passwo*****
*****&pass*****
*****mp;passwo*****
*****mp;passwo*****
*****amp;passw*****
*****ang&pa*****
*****ao&pas*****

</code>
后台功能实在太强大了,历史五百多万详细订单。

五百万.png


每天活动管理

活动管理.png


还可以手机号加白名单

白名单.png


订单自动短信内容控制

订单短信.png


控制首页大图

5.png


4.png


后台还有多处sql注入

sql注入.png


mask 区域
1.http://**.**.**/order/view_detail/id/5315952 order by 36 正常_
2.http://**.**.**/order/view_detail/id/5315952 order by 37 异常


sql注入就这样吧,不深入了。
另外一个邮箱里看到一个暂时使用的vpn,还未开启双因素认证的vpn,直接进入生产网。

暂时.png


暂时使用:

mask 区域
*****ngdian*****
**********
*****99phwB*****


VPN的网址没变,还是:https://vpn.meizu.com

一个月.png


内网.png


虽然说是暂时,邮件里也说到手机二次验证,对方也提供了手机号,但一个多月过去了还是没实施。
之前遇到这类问题比较多,会选择发到魅族src,这次有些地方比较有意思,想想还是发到wooyun吧,望谅解。
只是希望此案例公开后对其他公司安全人员有所帮助,能对这块有所加强。

修复方案:

加强员工安全意识
加强员工安全意识
加强员工安全意识

版权声明:转载请注明来源 getshell1993@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-10-30 15:30

厂商回复:

感谢提交,正在处理中!

最新状态:

2015-10-30:已修补完毕,感谢白帽子提交问题,地址私信发一下,礼品相送~

2015-12-14:已修补。