当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0211817

漏洞标题:韵达快递一次内网漫游(VPN重置绕过)

相关厂商:韵达快递

漏洞作者: jianFen

提交时间:2016-05-22 21:56

修复时间:2016-07-10 17:00

公开时间:2016-07-10 17:00

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-05-22: 细节已通知厂商并且等待厂商处理中
2016-05-26: 厂商已经确认,细节仅向厂商公开
2016-06-05: 细节向核心白帽子及相关领域专家公开
2016-06-15: 细节向普通白帽子公开
2016-06-25: 细节向实习白帽子公开
2016-07-10: 细节向公众公开

简要描述:

社工+信息泄露 咯

详细说明:

首先混入韵达某省对账群

mask 区域 
*****530*****


试着翻看群人员的信息 因为有些员工会把信息些在QQ里面
出现一处 看起来很像OA 登录账号 也发现韵达的账号结构 邮编+三位数编号

yd12.png


测试账号:



mask 区域


*****/Yw32*****


登录VPN系统

https://sqvpn.yundasys.com:8443/vpn/ui/view/index.html?actionId=index


但是现在的VPN不能通过客户端修改了 需要身份证+姓名
从登录后得知姓名

yd4.png


只差身份证了先抓包看点击重新绑定VPN手机号码

yd2.png


HTTP/1.1 200 OK
Server: nginx/1.7.7
Date: Sun, 22 May 2016 12:35:28 GMT
Content-Type: application/json;charset=UTF-8
Connection: keep-alive
Cache-Control: no-cache, must-revalidate
Pragma: no-cache
Expires: Thu, 01 Jan 1970 00:00:00 GMT
X-Powered-By: Servlet/3.0 JSP/2.2
Content-Length: 208
{"errorCode":0,"msg":"操作成功ŠŸ","data":{"id":322000002,"password":"********","name":"陈
云‘","mobile":"182****3222","card_code":"342502********3812","upd_time":"2016-01-16 10:13:38.0","keys":
[322000002]}}


身份证的前6位和后四位已经有了 342502********3812 中间为年月日
本来想爆破结果发现 一天只能重置一次就赶紧drop包了
继续回到群里

yd16.png


这不就是那位VPN的号主

yd17.png


得到出生月份拼接



mask 区域


*****80412*****


运气还不错啊

yd5.png


重置密码

yd6.PNG


然后去下载VPN客户端就在
VPN账号密码

mask 区域 
*****/Wooy*****


https://sqvpn.yundasys.com:8443/vpn/ui/view/index.html?actionId=index


后续内网:
韵达利用C/S客户端直接可登录大量系统 而且连接VPN后不需要进行MAC绑定等验证
下载客户端 最新网点版本
http://car.yundasys.com:81/yd_khd/mainfram.php



mask 区域


*****/Yw32*****


yd10.png


看图吧
#1门户系统

yd7.png


yd8.png


#2 订单系统

yd11.png


#3 客户系统

yd9.png


漏洞证明:

yd11.png

修复方案:

1.员工安全细节
2.服务器返回内容最好完全隐藏
3.C/S端连入内网无需MAC绑定等验证

版权声明:转载请注明来源 jianFen@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2016-05-26 16:57

厂商回复:

感谢指出,我们将及时修复

最新状态:

暂无