当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0164337

漏洞标题:一个github引发的畅捷通渗透测试

相关厂商:畅捷通

漏洞作者: _Thorns

提交时间:2015-12-25 08:11

修复时间:2016-02-07 17:56

公开时间:2016-02-07 17:56

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-25: 细节已通知厂商并且等待厂商处理中
2015-12-25: 厂商已经确认,细节仅向厂商公开
2016-01-04: 细节向核心白帽子及相关领域专家公开
2016-01-14: 细节向普通白帽子公开
2016-01-24: 细节向实习白帽子公开
2016-02-07: 细节向公众公开

简要描述:

一个失效密码引的渗透测试。有雷吗?o(∩_∩)o

详细说明:

https://github.com/wenjunyang/learn/blob/5232c958ea6b82ee94d671839c59841404037133/python/python_grammar/gzq_login.py

time_str = str(int(time.time()*1000))
login_url = 'https://i.chanjet.com/login/webLogin?callback=jQuery18309538595874328166_1449058922434&auth_username=yangw' \
            'jd%40chanjet.com&password=cd979d49c39b90282d20afff956ada12&auth_code=XMq4Gl&authImage=&jsonp=1&_=' + time_str


帐号密码无法登录,但是又发现其他地址。

time_str = str(int(time.time()*1000))
login_url = 'https://i.chanjet.com/login/webLogin?callback=jQuery18309538595874328166_1449058922434&auth_username=yangw' \
            'jd%40chanjet.com&password=cd979d49c39b90282d20afff956ada12&auth_code=XMq4Gl&authImage=&jsonp=1&_=' + time_str
headers = {'Host': 'i.chanjet.com',
            'Connection': 'keep-alive',
            'Pragma': 'no-cache',
            'Cache-Control': 'no-cache',
            'Accept': '*/*',
            'User-Agent': 'Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.81 Safari/537.36',
            'Referer': 'https://gzq.chanjet.com/',
            'Accept-Encoding': 'gzip, deflate, sdch',
            'Accept-Language': 'zh-CN,zh;q=0.8'
           }


'Referer': 'https://gzq.chanjet.com/'
https://gzq.chanjet.com/ 工作圈,员工交流的地方
再继续翻阅https://github.com/wenjunyang,
功夫不负有心人,翻到一个比较敏感的东西。
login_data = {'fastloginfield':'username',
'username':'ywj321442',
'password':'yangwenjun153',
'quickforward':'yes',
'handlekey':'ls'}
sender = '[email protected]'
receiver = '[email protected]'
subject = '博乐在线自动签到失败'
smtpserver = 'smtp.qq.com'
username = '[email protected]'
password = 'bigdata.123'
用户名:[email protected]
密码:wendale.321
尝试用wendale.321密码登录,是可以直接登录工作圈。

1.png


利用工作圈获取了一部分通讯录。

2.png


然后爆破了下邮箱。

3.png


莫慌莫慌,我替你们手工打码了...

li***ng	chanjet!321	506
we***na	chanjet!321	506
zh***n1	chanjet!321	506
zh***ff	chanjet!321	506
qi***b3	chanjet!321	506
lu***e	chanjet!321	486
l***3	chanjet!321	486
lo***h	chanjet!321	486
y***sl	chanjet!321	486
w***l	chanjet!321	486
li***y6	chanjet!321	486
fu***in	chanjet!321	486
xu***1	chanjet!321	486


以下是智联登录账号,密码均为chan*******
1、cjt-guopeng
2、cjt-zhengjiang
3、cjt-wanxing


智联招聘:
用户名:cjthr
密码:0987chanjet2014
登录网址:http://rdsearch.zhaopin.com
 
前程无忧:
用户名:用友小型
账号:admincjthr
密码:****chanjet****
登录网址:http://ehire.51job.com
 
用户名:畅捷通
密 码:chanjet****
地 址:http://lpt.liepin.com
 
用户名:[email protected]
密 码:zwj05****
地 址:http://www.lagou.com


1.png


2.png


一大批内网帐号信息沦陷。

IP: 172.18.22.49 , 172.18.22.50 , 172.18.22.51 username: password: SSHport:
172.18.8.10  用户名/密码:root/****ft
172.18.8.12  用户名/密码:root/****e111
172.18.8.11  用户名/密码:root/****ft
172.18.8.57   用户名/密码:root/****111
172.18.8.22   用户名/密码:root/****111
172.18.8.29   用户名/密码:root/****111
172.18.8.13   用户名/密码:root/****111
172.18.8.94     账号/密码:root/****111
172.18.8.192   账号/密码:root/****111
172.18.8.93     账号/密码:root/****111
172.18.9.124、172.18.9.153、172.18.9.233、172.18.9.147
帐号oxuehp,密码****!@#
172.18.10.8   用户名/密码:root/****111
IP: 10.17.10.2 IP: 10.17.10.3 用户名: administrator 密码: ****@host   windows远程登录端口: 23585


后来我想去登录VPN,但是这个VPN规则有点恶心。
https://cjvpn.yonyou.com/prx/000/https/vpnlcm.yonyou.com/login.html?id=chanjet
需要用手机号来申请证书,小弟一想,这不简单吗,我把他认证手机号改成我自己的手机号不就行了吗,未能所愿。
下了一个内部通讯软件,想忽悠忽悠IT人员。
结果......发现这个手机号是HR来修改的。

4.png


再看看其他小漏洞把。
http://58.83.201.6:9090/session-summary.jsp
弱口令登录

5.png


http://jira2.rd.chanjet.com/secure/Dashboard.jspa
wanglei chanjet

6.png


http://wiki2.rd.chanjet.com/index.action
wangchc wangchc123

7.png


http://wiki.rd.chanjet.com/index.action
liwqd chanjet

9.png


对咯,主站还有XSS,好像是在修改资料那里。

8.png

漏洞证明:

https://github.com/wenjunyang/learn/blob/5232c958ea6b82ee94d671839c59841404037133/python/python_grammar/gzq_login.py

time_str = str(int(time.time()*1000))
login_url = 'https://i.chanjet.com/login/webLogin?callback=jQuery18309538595874328166_1449058922434&auth_username=yangw' \
            'jd%40chanjet.com&password=cd979d49c39b90282d20afff956ada12&auth_code=XMq4Gl&authImage=&jsonp=1&_=' + time_str


帐号密码无法登录,但是又发现其他地址。

time_str = str(int(time.time()*1000))
login_url = 'https://i.chanjet.com/login/webLogin?callback=jQuery18309538595874328166_1449058922434&auth_username=yangw' \
            'jd%40chanjet.com&password=cd979d49c39b90282d20afff956ada12&auth_code=XMq4Gl&authImage=&jsonp=1&_=' + time_str
headers = {'Host': 'i.chanjet.com',
            'Connection': 'keep-alive',
            'Pragma': 'no-cache',
            'Cache-Control': 'no-cache',
            'Accept': '*/*',
            'User-Agent': 'Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.81 Safari/537.36',
            'Referer': 'https://gzq.chanjet.com/',
            'Accept-Encoding': 'gzip, deflate, sdch',
            'Accept-Language': 'zh-CN,zh;q=0.8'
           }


'Referer': 'https://gzq.chanjet.com/'
https://gzq.chanjet.com/ 工作圈,员工交流的地方
再继续翻阅https://github.com/wenjunyang,
功夫不负有心人,翻到一个比较敏感的东西。
login_data = {'fastloginfield':'username',
'username':'ywj321442',
'password':'yangwenjun153',
'quickforward':'yes',
'handlekey':'ls'}
sender = '[email protected]'
receiver = '[email protected]'
subject = '博乐在线自动签到失败'
smtpserver = 'smtp.qq.com'
username = '[email protected]'
password = 'bigdata.123'
用户名:[email protected]
密码:wendale.321
尝试用wendale.321密码登录,是可以直接登录工作圈。

1.png


利用工作圈获取了一部分通讯录。

2.png


然后爆破了下邮箱。

3.png


莫慌莫慌,我替你们手工打码了...

li***ng	chanjet!321	506
we***na	chanjet!321	506
zh***n1	chanjet!321	506
zh***ff	chanjet!321	506
qi***b3	chanjet!321	506
lu***e	chanjet!321	486
l***3	chanjet!321	486
lo***h	chanjet!321	486
y***sl	chanjet!321	486
w***l	chanjet!321	486
li***y6	chanjet!321	486
fu***in	chanjet!321	486
xu***1	chanjet!321	486


以下是智联登录账号,密码均为chan*******
1、cjt-guopeng
2、cjt-zhengjiang
3、cjt-wanxing


智联招聘:
用户名:cjthr
密码:0987chanjet2014
登录网址:http://rdsearch.zhaopin.com
 
前程无忧:
用户名:用友小型
账号:admincjthr
密码:****chanjet****
登录网址:http://ehire.51job.com
 
用户名:畅捷通
密 码:chanjet****
地 址:http://lpt.liepin.com
 
用户名:[email protected]
密 码:zwj05****
地 址:http://www.lagou.com


1.png


2.png


一大批内网帐号信息沦陷。

IP: 172.18.22.49 , 172.18.22.50 , 172.18.22.51 username: password: SSHport:
172.18.8.10  用户名/密码:root/****ft
172.18.8.12  用户名/密码:root/****e111
172.18.8.11  用户名/密码:root/****ft
172.18.8.57   用户名/密码:root/****111
172.18.8.22   用户名/密码:root/****111
172.18.8.29   用户名/密码:root/****111
172.18.8.13   用户名/密码:root/****111
172.18.8.94     账号/密码:root/****111
172.18.8.192   账号/密码:root/****111
172.18.8.93     账号/密码:root/****111
172.18.9.124、172.18.9.153、172.18.9.233、172.18.9.147
帐号oxuehp,密码****!@#
172.18.10.8   用户名/密码:root/****111
IP: 10.17.10.2 IP: 10.17.10.3 用户名: administrator 密码: ****@host   windows远程登录端口: 23585


后来我想去登录VPN,但是这个VPN规则有点恶心。
https://cjvpn.yonyou.com/prx/000/https/vpnlcm.yonyou.com/login.html?id=chanjet
需要用手机号来申请证书,小弟一想,这不简单吗,我把他认证手机号改成我自己的手机号不就行了吗,未能所愿。
下了一个内部通讯软件,想忽悠忽悠IT人员。
结果......发现这个手机号是HR来修改的。

4.png


再看看其他小漏洞把。
http://58.83.201.6:9090/session-summary.jsp
弱口令登录

5.png


http://jira2.rd.chanjet.com/secure/Dashboard.jspa
wanglei chanjet

6.png


http://wiki2.rd.chanjet.com/index.action
wangchc wangchc123

7.png


http://wiki.rd.chanjet.com/index.action
liwqd chanjet

9.png


对咯,主站还有XSS,好像是在修改资料那里。

8.png

修复方案:

版权声明:转载请注明来源 _Thorns@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2015-12-25 09:59

厂商回复:

感谢您对我们的关注和支持,该问题存在,我们正在修复。
有礼物相送,路人甲没有找到索取联系方式的地方,还请洞主私信我下,谢谢 :)

最新状态:

暂无