当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-084115

漏洞标题:一封钓鱼邮件引发的爆菊血案(论企业员工安全意识培训的重要性)

相关厂商:CERT

漏洞作者: loli

提交时间:2014-11-21 14:19

修复时间:2015-01-17 01:12

公开时间:2015-01-17 01:12

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-11-21: 细节已通知厂商并且等待厂商处理中
2014-11-26: 厂商已经确认,细节仅向厂商公开
2014-12-06: 细节向核心白帽子及相关领域专家公开
2014-12-16: 细节向普通白帽子公开
2014-12-26: 细节向实习白帽子公开
2015-01-17: 细节向公众公开

简要描述:

包括新浪,京东,豌豆荚,人民银行,兴业银行,上海市局等互联网、国企央企内部员工邮件登陆信息泄露。

详细说明:

某日,公司前台反映收到一封提示OA需要升级,需要用户填写OA登陆账号密码等信息。如图:

test.png


查看元素代码发现中间有个跳转代码,利用了51job进行了跳转:

href="http://fans.51job.com/QVniqi" name="_=&quot;true&quot;" target="_blank">请点这里进行升级</a></p></td></tr></tbod


访问该地址后直接到http://admin.oa.ems.scjc.net.cn,该页面模仿的是exchange的页面风格,导致很多非技术类的用户信以为真。如图:

test1.png


使用一句话插进服务器:

test3.png


部分企业的登陆信息有亮点,牛啊,市局你都敢钓。。。:

aaaaa1.png


tett8.png


test8.png


----------------------------------
直接访问scjc.net.cn 跳转到apple icloud钓鱼页面,继续插进后台,发现很多小白填写了apple id:

test7.png


test5.jpg


http://apprl.apletsrye.cn.com/apple1.asp


------------------------------------------------------------------------
接下来就是爆菊花:
在配置文件中发现了钓鱼者的信息:

'修改的地方只在双引号里,否则将会出错。
aemail="19


mask 区域


*****61*****






[email protected]" '收件人邮箱,移动手机使用139邮箱,联通手机到mail.wo.com.cn注册,电信189邮箱,其他用户也可以使用其他能接受短信通知的邮箱
atitle="[某某站]有单通知" '邮件标题
ausername="ti





mask 区域


*****iu*****






@163.com" '输入发件人邮箱,qq邮箱需要开启pop3服务


通过人肉,发现此人为asp程序员,58上有具体联系方式
姓名:田*
QQ:19006**20
邮箱:tianq*****@163.com
电话:1343******071
地  址:深圳龙岗区14545

http://sz.58.com/wangzhan/19578267944457x.shtml


QQ空间有帅片:

漏洞证明:

1.png

修复方案:

加强内部人员安全意识,尤其是非技术人员。

版权声明:转载请注明来源 loli@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-11-26 10:04

厂商回复:

最新状态:

暂无