突破重重防护获得进入同程邮箱（iPhone内置接口利用技巧）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0194034

漏洞标题：突破重重防护获得进入同程邮箱（iPhone内置接口利用技巧）

漏洞作者： if、so

提交时间：2016-04-08 20:34

修复时间：2016-05-23 21:30

公开时间：2016-05-23 21:30

漏洞类型：敏感信息泄露

危害等级：高

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-04-08：细节已通知厂商并且等待厂商处理中
2016-04-08：厂商已经确认，细节仅向厂商公开
2016-04-18：细节向核心白帽子及相关领域专家公开
2016-04-28：细节向普通白帽子公开
2016-05-08：细节向实习白帽子公开
2016-05-23：细节向公众公开

简要描述：

防不胜防，一个攻击新姿势，终极杀招。

详细说明：

同程网的邮件系统

mail.17u.cn

加了双重认证，需要手机动态验证码来验证。
扫描了下端口，也没有开启pop3，也就是说有了账户密码都不能进入邮箱。
怎么办?真的不能突破了？
下面来介绍一个新东西

Microsoft ActiveSync 是基于 Windows Mobile 的设备的最新同步软件版本。ActiveSync 提供了即时可用的与基于 Windows 的个人计算机和 Microsoft Outlook 的良好同步体验。ActiveSync 可充当基于Windows 的个人计算机与基于 Windows Mobile 的设备之间的网关，从而允许您在个人计算机与设备之间传输 Outlook 信息、Office 文档、图片、音乐、视频和应用程序。除了与台式计算机进行同步之外，ActiveSync 还可以直接与 Microsoft Exchange Server 2003同步，从而允许您在离开个人计算机时也能通过无线方式获得最新的电子邮件、日历数据、任务和联系人信息。

通俗来讲就是一个功能接口提供给手机用户方便移动办公
想要使用此服务，比如收发邮件，就去手机上设置
如图

选择exchange然后进行设置
很多人都会想，服务器什么相关邮件服务端口都没开，怎么可能连接上邮件服务器，并且收发邮件？
其实不是，强大的微软早已提供相关接口
注意，域名那里一定要填写域名，这里的域名是windows ad域名，至于域名是什么，需要自己去收集信息。

WooYun: 利用某些漏洞可以重置同程网任意用户密码这个漏洞里面正好当时正好记录下了内网域名

c:\windows\system32\inetsrv\> net group "domain admins" /domain
这项请求将在域 tcent.cn 的域控制器处理。

填完相关信息，连上wifi，在电脑上抓包
获得认证包

OPTIONS /Microsoft-Server-ActiveSync HTTP/1.1
Host: mail.17u.com
Accept-Encoding: gzip, deflate
Content-Length: 0
Connection: keep-alive
Proxy-Connection: keep-alive
Accept: */*
User-Agent: Apple-iPhone8C2/1304.15
Authorization: Basic dHVuaXUtaW5jXHF3ZTpxd2U=
Accept-Language: zh-cn
X-MS-PolicyKey: 0

一切搞定，开始放入burp爆破

爆破点在

Authorization: Basic dHVuaXUtaW5jXHF3ZTpxd2U=

这里
被base64编码了，原始格式是

tcent.cn\username

(是一个斜杠，被乌云转码多了一个)
手上刚好遗漏以前的同程的一些用户名，开始爆破
最后成功获得1个用户
yucuilan tcw123
手机连接，成功连接上，但是需要管理员审核貌似，等了几天，成功被开启，哈哈

土豪公司。。

漏洞证明：

如上所示，同程密码强度现在做的蛮好的，爆破了好久。其实也不能怪同程，微软接口太多了，防不胜防，不过网络管理员审核用户时应该要核实后才能给用户开启邮件服务。想找出更多案列来，可惜满足邮件系统有验证码验证加没开启邮件服务端口条件的公司本来就不多，而且弱口令也爆不出来，一大遗憾。

修复方案：

版权声明：转载请注明来源 if、so@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2016-04-08 21:25

厂商回复：

感谢关注同程旅游，帐号是有密码策略的，不少于8位，所以我们日常扫描的字典就没有低于8位的。回头看看哪儿出问题了。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0194034

漏洞标题：突破重重防护获得进入同程邮箱（iPhone内置接口利用技巧）

相关厂商：苏州同程旅游网络科技有限公司

漏洞作者： if、so

提交时间：2016-04-08 20:34

修复时间：2016-05-23 21:30

公开时间：2016-05-23 21:30

漏洞类型：敏感信息泄露

危害等级：高

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 if、so@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0194034

漏洞标题：突破重重防护获得进入同程邮箱（iPhone内置接口利用技巧）

相关厂商：苏州同程旅游网络科技有限公司

漏洞作者： if、so

提交时间：2016-04-08 20:34

修复时间：2016-05-23 21:30

公开时间：2016-05-23 21:30

漏洞类型：敏感信息泄露

危害等级：高

自评Rank：10

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0194034"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 if、so@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：