WooYun.org

年前把学校行李寄申通快递寄回家，一个快件近10天没有动静，多次询问发件地申通都回避问题，货品早到达目的地，但派送方既不派送又不主动联系我（地址电话都正确），最后约定派送时间却又不打招呼推迟一天，差点耽误我出行，整个协商网点互相推诿，让人十分窝火。约定派送那天没有派送，多番催促后才同意次日派送，晚上查件的时候无意中发现了申通办公平台的下载区，然后就是下面描述的情况了：
1、申通办公平台的下载区 http://oa.sto.cn/e3oa/down/down.html 中获得“OA升级版”客户端
2、打开客户端后发现保存有上次用户的登录信息，猜测本地存有登录信息

3、在软件根目录下寻找到名为e3net.ini的配置文件，如下图

用户的登录信息以类似Base64形式存储，然而在通过Base64解码得不到正确结果
4、由于在登录框中，部分登录信息明文显示，猜测用户名和密码的编解码规则相同，因此我将网点编号lastloginsitecode的值与lastloginpassword的值进行对调，再次启动客户端，在网点编号未知的Text栏中显示出lastloginpassword解码后的数值

5、尝试用该密码登录，系统登陆成功，进入加载页面（由于客户端版本较老，不能正常使用）。此用户账号密码有效。
6、返回办公平台的下载区页面，下载“申通客服管控平台(2013-3-7更新)”，用该账号密码进行登录，登陆成功。该账号密码所有者为申通信息部员工，拥有申通客服管控平台管理权限。

可以在权限管理中查询到其他管理员的信息，并可以进行用户权限管理、用户增减操作、密码修改等敏感操作。同时可以进行该客服管控平台任意功能的操作。
7、通过用户信息获得申通协同办公平台（http://cos.sto.cn/）的员工登录姓名，通过弱口令进入办公平台，获得最新版E3集群系统

8、利用客管平台的账户信息，组合猜解得到E3系统管理员登陆账号密码，成功登陆E3系统，获取E3全部功能的操作权限，这个危害程度应该很高吧？
9、在E3系统的权限管理中，可以通过能够接受WM_GETTEXT消息的密码查看软件就能够查看到对应窗口的密码信息。在客管平台中也可以采用类似方式获取用户密码

补充说明，顺便测试了网上几个能够下载到的管理客户端，如义务申通的E3平台，配置文件中密码使用Base64编码存储，很容易获取账号密码。