当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0156480

漏洞标题:绕过终端沙箱控制全市快递想拿谁的快递就拿谁的快递

相关厂商:中集e栈

漏洞作者: 第四维度

提交时间:2015-11-28 23:40

修复时间:2015-12-17 14:48

公开时间:2015-12-17 14:48

漏洞类型:权限控制绕过

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-28: 细节已通知厂商并且等待厂商处理中
2015-12-02: 厂商已经确认,细节仅向厂商公开
2015-12-05: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2016-01-26: 细节向核心白帽子及相关领域专家公开
2016-02-05: 细节向普通白帽子公开
2016-02-15: 细节向实习白帽子公开
2015-12-17: 细节向公众公开

简要描述:

2015年3月,中集集团成立深圳中集电商物流科技有限公司(下称中集电商)与深圳智汇合科技有限公司签署资产收购协议,双方建立战略合作关系,智汇合公司运营的webox“网盒”电商快递柜全部纳入中集电商e栈体系,自此中集电商在短短三个月内已在深圳建立过千台的电商快递柜密集运营网络。
中集电商与网盒的合作只是第一步,到2015年6月份,e栈将全面覆盖深圳市所有成建制小区,不仅成为深圳市最大,而且将是网点最密集的公共社区电商物流网运营商。届时中集电商将为深圳市至少600万以上的业主用户提供最优质、最便利的社区电商物流服务。
中集电商也在积极探索业主、物业、电商、快递公司及第三方的社区O2O多赢平台。深圳是中集电商迈向全国的第一步,在不久的将来,中集电商将在全国主要城市全面铺开。

详细说明:

1、只要你在网上购买了商品,不论什么快递公司,只要送到e栈,我这里都能查到你的手机号码。
2、我拥有所有快递人员的手机号码和大头照。
3、只要我想,我可以拿走任何人的快递。

漏洞证明:

这就是e栈的终端机。

E栈.jpg


首先,绕过它的沙箱。

IMG_2284.JPG


然后紧接着我看了它的IP地址。

IMG_2285.JPG


看了看它的盘符,在D盘下,有两个文件夹,存放着照片。

IMG_2288.JPG


IMG_2289.JPG


接着我进入了它的路由器。

**.**.**.**


user:admin pass:admin


IMG_2291.JPG


IMG_2290.JPG


发现没有什么好搞的,接着翻了翻程序列表,发现一个有意思的程序。

IMG_2286.JPG


有了数据库一切好搞,直接连接管理。

IMG_2292.JPG


IMG_2293.JPG


IMG_2294.JPG


IMG_2295.JPG


IMG_2296.JPG


可以看到大量的信息,不过这不是重点。
重点在这里。

IMG_2299.JPG


IMG_2300.JPG


可以看到这个表是快递员的表。可以查看到快递员的个人信息,最重要的就是这个手机号。
我们记录下这个快递员的手机号。再把经过MD5加密的进行碰撞解密。

IMG_2298.JPG


现在开始取件。
我们利用这名快递员的手机号和密码进行登录。
登录后的界面是这样的。

IMG_2301.JPG


先进行投递测试,看看能不能打开。

IMG_2305.JPG


IMG_2306.JPG


IMG_2307.JPG


IMG_2303.JPG


门开了。。。。
其实这个数据库还有一个表是存放已经放入包裹的信息的,里面有包裹大小,所在箱子的ID号,放在哪个箱子,以及手机号,只要比对手机号找到快递员,解开密码就可以拿走包裹。
到此为止了,最后放一张。

IMG_2287.JPG


到最后可能还会有一个问题,就是这个数据库是localhost的,会不会有局限性。
这个问题其实一张图就可以证明。

IMG_2309.JPG


修复方案:

1、升级沙箱
2、更改数据库密码
3、二次验证

版权声明:转载请注明来源 第四维度@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-12-02 18:31

厂商回复:

CNVD未直接复现所述情况,已经转由CNCERT下发给广东分中心,由其后续协调网站管理单位处置。

最新状态:

暂无