突破重重防护获得进入同程邮箱(iPhone内置接口利用技巧)

编号194034
Urlhttp://www.wooyun.org/bug.php?action=view&id=194034
漏洞状态厂商已经确认
漏洞标题突破重重防护获得进入同程邮箱(iPhone内置接口利用技巧)
漏洞类型敏感信息泄露
厂商苏州同程旅游网络科技有限公司
白帽子if、so
提交日期2016-04-08 20:34:00
公开日期2016-05-23 21:30:00
修复时间(not set)
确认时间2016-04-08 00:00:00
Confirm Spend0
漏洞标签
关注数0
收藏数0
白帽评级
白帽自评rank10
厂商评级
厂商评rank20
漏洞简介
防不胜防,一个攻击新姿势,终极杀招。
漏洞细节

同程网的邮件系统

mail.17u.cn


1111.png


加了双重认证,需要手机动态验证码来验证。
扫描了下端口,也没有开启pop3,也就是说有了账户密码都不能进入邮箱。
怎么办?真的不能突破了?
下面来介绍一个新东西

Microsoft ActiveSync 是基于 Windows Mobile 的设备的最新同步软件版本。ActiveSync 提供了即时可用的与基于 Windows 的个人计算机和 Microsoft Outlook 的良好同步体验。ActiveSync 可充当基于Windows 的个人计算机与基于 Windows Mobile 的设备之间的网关,从而允许您在个人计算机与设备之间传输 Outlook 信息、Office 文档、图片、音乐、视频和应用程序。除了与台式计算机进行同步之外,ActiveSync 还可以直接与 Microsoft Exchange Server 2003同步,从而允许您在离开个人计算机时也能通过无线方式获得最新的电子邮件、日历数据、任务和联系人信息。


通俗来讲就是一个功能接口提供给手机用户方便移动办公
想要使用此服务,比如收发邮件,就去手机上设置
如图

1111.png


2222.jpg


选择exchange然后进行设置
很多人都会想,服务器什么相关邮件服务端口都没开,怎么可能连接上邮件服务器,并且收发邮件?
其实不是,强大的微软早已提供相关接口
注意,域名那里一定要填写域名,这里的域名是windows ad域名,至于域名是什么,需要自己去收集信息。

2222.jpg


WooYun: 利用某些漏洞可以重置同程网任意用户密码 这个漏洞里面正好当时正好记录下了内网域名

c:\windows\system32\inetsrv\> net group "domain admins" /domain
这项请求将在域 tcent.cn 的域控制器处理。


填完相关信息,连上wifi,在电脑上抓包
获得认证包

OPTIONS /Microsoft-Server-ActiveSync HTTP/1.1
Host: mail.17u.com
Accept-Encoding: gzip, deflate
Content-Length: 0
Connection: keep-alive
Proxy-Connection: keep-alive
Accept: */*
User-Agent: Apple-iPhone8C2/1304.15
Authorization: Basic dHVuaXUtaW5jXHF3ZTpxd2U=
Accept-Language: zh-cn
X-MS-PolicyKey: 0


一切搞定,开始放入burp爆破

1111.png


爆破点在

Authorization: Basic dHVuaXUtaW5jXHF3ZTpxd2U=

这里
被base64编码了,原始格式是

tcent.cn\username

(是一个斜杠,被乌云转码多了一个)
手上刚好遗漏以前的同程的一些用户名,开始爆破
最后成功获得1个用户
yucuilan tcw123
手机连接,成功连接上,但是需要管理员审核貌似,等了几天,成功被开启,哈哈

1111.png


1111.png


土豪公司。。

POC

如上所示,同程密码强度现在做的蛮好的,爆破了好久。其实也不能怪同程,微软接口太多了,防不胜防,不过网络管理员审核用户时应该要核实后才能给用户开启邮件服务。想找出更多案列来,可惜满足邮件系统有验证码验证加没开启邮件服务端口条件的公司本来就不多,而且弱口令也爆不出来,一大遗憾。

修复方案

状态信息 2016-04-08: 细节已通知厂商并且等待厂商处理中
2016-04-08: 厂商已经确认,细节仅向厂商公开
2016-04-18: 细节向核心白帽子及相关领域专家公开
2016-04-28: 细节向普通白帽子公开
2016-05-08: 细节向实习白帽子公开
2016-05-23: 细节向公众公开
厂商回复感谢关注同程旅游,帐号是有密码策略的,不少于8位,所以我们日常扫描的字典就没有低于8位的。回头看看哪儿出问题了。
回应信息危害等级:高漏洞Rank:20 确认时间:2016-04-08 21:25
Showing 1-34 of 34 items.
评论内容评论人点赞数评论时间

@if、so 666

_Evil02016-04-30 03:29:00

是一个接口,和你说的不是一个,并且这个也算一个可以暴力破解的接口

if、so02016-04-29 09:06:00

@if、so 我还看不到漏洞,难道是调用微软API接口;https收邮件就行了.短信验证就不知道了.. 但是亲测N次,web登录邮箱是登录不了的;https收取就可以了;微软有API

_Evil02016-04-28 22:36:00

简直6!!!

_Thorns02016-04-28 22:00:00

那着能坐等观看了

刘海哥02016-04-11 14:58:00

和你那不属于一个东西,这是exchange,,邮件端口都没开,知道的人也比较少

if、so02016-04-11 10:16:00

@if、so WooYun: 网易邮箱某重要邮件系统可绕过邮箱登录二次验证从而登录邮箱 WooYun: 网易邮箱登录二次验证绕过漏洞 WooYun: 网易重要邮件手机验证可成功绕过

px162402016-04-11 09:49:00

@px1624 show case

if、so02016-04-11 09:08:00

@刘海哥 二次手机短信验证码这个,貌似只要是个客户端的都可以~

px162402016-04-11 09:02:00

目测找到泄露的密码然后通过iPhone的自带邮件功能,登录进去绕过了他页面登录需要的手机验证码。

刘海哥02016-04-11 08:52:00

两天不上网,大牛又出新东西了?我发现你字典不错哦

blnxz02016-04-10 21:36:00

关注新姿势

niliu02016-04-09 18:15:00

这人挖的= =

坏男孩-A_A02016-04-09 11:06:00

@苏州同程旅游网络科技有限公司 挖人太赤裸裸了。。。

Mr .LZH02016-04-09 11:04:00

膜拜

scanf02016-04-09 07:08:00

膜拜啊

高小厨02016-04-08 23:43:00

@苏州同程旅游网络科技有限公司

if、so02016-04-08 22:04:00

。。。一言难尽,保持暧昧挺好的

if、so02016-04-08 22:03:00

@if、so 哥你对我们情有独钟啊 为啥就不愿意来呢 过来和Matt他们一起做攻防

苏州同程旅游网络科技有限公司02016-04-08 22:00:00

你关注的白帽子 if、so 发表了漏洞 突破重重防护获得进入同程邮箱(iPhone内置接口利用技巧)

孤梦°02016-04-08 21:42:00

@苏州同程旅游网络科技有限公司 。。。

if、so02016-04-08 21:32:00

狗哥帮忙把充值多少钱那边打个码吧,露财不好→_→

苏州同程旅游网络科技有限公司02016-04-08 21:31:00

厉害,原来是这样!

px162402016-04-08 21:26:00

牛逼啊

子非海绵宝宝02016-04-08 21:25:00

关注

随风的风02016-04-08 21:12:00

.

诡道02016-04-08 21:04:00

原来是这样的啊

大师兄02016-04-08 21:03:00

有意思

数据流02016-04-08 20:51:00

关注

从容02016-04-08 20:44:00

关注

DloveJ02016-04-08 20:43:00

终极杀招。

紫霞仙子02016-04-08 20:42:00

前排

镱鍚02016-04-08 20:39:00

你关注的白帽子 if、so 发表了漏洞 突破重重防护获得进入同程邮箱(iPhone内置接口利用技巧)

Bear baby02016-04-08 20:35:00

哈哈 不错

疯狗02016-04-08 20:34:00