神刀安全网

漏洞标题: 突破重重防护获得进入同程邮箱(iPhone内置接口利用技巧)

漏洞详情

披露状态:

2016-04-08: 细节已通知厂商并且等待厂商处理中
2016-04-08: 厂商已经确认,细节仅向厂商公开
2016-04-18: 细节向核心白帽子及相关领域专家公开
2016-04-28: 细节向普通白帽子公开
2016-05-08: 细节向实习白帽子公开
2016-05-23: 细节向公众公开

简要描述:

防不胜防,一个攻击新姿势,终极杀招。

详细说明:

同程网的邮件系统

code 区域
mail.17u.cn

漏洞标题:  突破重重防护获得进入同程邮箱(iPhone内置接口利用技巧)

加了双重认证,需要手机动态验证码来验证。

扫描了下端口,也没有开启pop3,也就是说有了账户密码都不能进入邮箱。

怎么办?真的不能突破了?

下面来介绍一个新东西

code 区域
Microsoft ActiveSync 是基于 Windows Mobile 的设备的最新同步软件版本。ActiveSync 提供了即时可用的与基于 Windows 的个人计算机和 Microsoft Outlook 的良好同步体验。ActiveSync 可充当基于Windows 的个人计算机与基于 Windows Mobile 的设备之间的网关,从而允许您在个人计算机与设备之间传输 Outlook 信息、Office 文档、图片、音乐、视频和应用程序。除了与台式计算机进行同步之外,ActiveSync 还可以直接与 Microsoft Exchange Server 2003同步,从而允许您在离开个人计算机时也能通过无线方式获得最新的电子邮件、日历数据、任务和联系人信息。

通俗来讲就是一个功能接口提供给手机用户方便移动办公

想要使用此服务,比如收发邮件,就去手机上设置

如图

漏洞标题:  突破重重防护获得进入同程邮箱(iPhone内置接口利用技巧)

漏洞标题:  突破重重防护获得进入同程邮箱(iPhone内置接口利用技巧)

选择exchange然后进行设置

很多人都会想,服务器什么相关邮件服务端口都没开,怎么可能连接上邮件服务器,并且收发邮件?

其实不是,强大的微软早已提供相关接口

注意,域名那里一定要填写域名,这里的域名是windows ad域名,至于域名是什么,需要自己去收集信息。

漏洞标题:  突破重重防护获得进入同程邮箱(iPhone内置接口利用技巧)

WooYun: 利用某些漏洞可以重置同程网任意用户密码 这个漏洞里面正好当时正好记录下了内网域名

code 区域
c:/windows/system32/inetsrv/> net group "domain admins" /domain

这项请求将在域 tcent.cn 的域控制器处理。

填完相关信息,连上wifi,在电脑上抓包

获得认证包

code 区域
OPTIONS /Microsoft-Server-ActiveSync HTTP/1.1
Host: mail.17u.com
Accept-Encoding: gzip, deflate
Content-Length: 0
Connection: keep-alive
Proxy-Connection: keep-alive
Accept: */*
User-Agent: Apple-iPhone8C2/1304.15
Authorization: Basic dHVuaXUtaW5jXHF3ZTpxd2U=
Accept-Language: zh-cn
X-MS-PolicyKey: 0

一切搞定,开始放入burp爆破

漏洞标题:  突破重重防护获得进入同程邮箱(iPhone内置接口利用技巧)

爆破点在

code 区域
Authorization: Basic dHVuaXUtaW5jXHF3ZTpxd2U=

这里

被base64编码了,原始格式是

code 区域
tcent.cn/username

(是一个斜杠,被乌云转码多了一个)

手上刚好遗漏以前的同程的一些用户名,开始爆破

最后成功获得1个用户

yucuilan tcw123

手机连接,成功连接上,但是需要管理员审核貌似,等了几天,成功被开启,哈哈

漏洞标题:  突破重重防护获得进入同程邮箱(iPhone内置接口利用技巧)

漏洞标题:  突破重重防护获得进入同程邮箱(iPhone内置接口利用技巧)

土豪公司。。

漏洞证明:

如上所示,同程密码强度现在做的蛮好的,爆破了好久。其实也不能怪同程,微软接口太多了,防不胜防,不过网络管理员审核用户时应该要核实后才能给用户开启邮件服务。想找出更多案列来,可惜满足邮件系统有验证码验证加没开启邮件服务端口条件的公司本来就不多,而且弱口令也爆不出来,一大遗憾。

修复方案:

版权声明:转载请注明来源 if、so@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: 突破重重防护获得进入同程邮箱(iPhone内置接口利用技巧)

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址