申通快递E3集群系统和客服管控系统管理信息泄露

漏洞详情

披露状态:

2014-02-25: 细节已通知厂商并且等待厂商处理中
2014-02-25: 厂商已经确认,细节仅向厂商公开
2014-02-28: 细节向第三方安全合作伙伴开放
2014-03-07: 细节向核心白帽子及相关领域专家公开
2014-03-17: 细节向普通白帽子公开
2014-04-06: 细节向实习白帽子公开
2014-05-26: 细节向公众公开

简要描述:

申通快递E3总部集群系统、客服管控平台系统两个运营核心系统管理信息泄露,可以获得两个系统的客户端最高管理权限,能够对系统内的任意联网信息(按照官网描述:公司耗资近亿元开发"申通E3快递软件系统平台",包括"快递业务系统、数据采集系统、无线GPRS数据采集传输系统、称重计费系统、航空业务管理系统、车辆运营管理系统、客服投诉受理系统、客服呼叫中心系统、电子商务(淘宝业务)接单系统"等”)进行查询修改操作,如被恶意利用可导致整个信息系统瘫痪。并可获得系统内所有用户的登录管理权限。

详细说明:

年前把学校行李寄申通快递寄回家,一个快件近10天没有动静,多次询问发件地申通都回避问题,货品早到达目的地,但派送方既不派送又不主动联系我(地址电话都正确),最后约定派送时间却又不打招呼推迟一天,差点耽误我出行,整个协商网点互相推诿,让人十分窝火。约定派送那天没有派送,多番催促后才同意次日派送,晚上查件的时候无意中发现了申通办公平台的下载区,然后就是下面描述的情况了:



1、申通办公平台的下载区 http://oa.sto.cn/e3oa/down/down.html 中获得“OA升级版”客户端

2、打开客户端后发现保存有上次用户的登录信息,猜测本地存有登录信息

JBG_(}}U~)G(62A8J02{Q_J.jpg



3、在软件根目录下寻找到名为e3net.ini的配置文件,如下图

.jpg



用户的登录信息以类似Base64形式存储,然而在通过Base64解码得不到正确结果

4、由于在登录框中,部分登录信息明文显示,猜测用户名和密码的编解码规则相同,因此我将网点编号lastloginsitecode的值与lastloginpassword的值进行对调,再次启动客户端,在网点编号未知的Text栏中显示出lastloginpassword解码后的数值

`E7Y`2T)GDFESD(]C$YKC~H.jpg



5、尝试用该密码登录,系统登陆成功,进入加载页面(由于客户端版本较老,不能正常使用)。此用户账号密码有效。

6、返回办公平台的下载区页面,下载“申通客服管控平台(2013-3-7更新)”,用该账号密码进行登录,登陆成功。该账号密码所有者为申通信息部员工,拥有申通客服管控平台管理权限。

.png



可以在权限管理中查询到其他管理员的信息,并可以进行用户权限管理、用户增减操作、密码修改等敏感操作。同时可以进行该客服管控平台任意功能的操作。

7、通过用户信息获得申通协同办公平台(http://cos.sto.cn/)的员工登录姓名,通过弱口令进入办公平台,获得最新版E3集群系统

(O_BA8)N7MY{1HJ13)TQ`BL.jpg



8、利用客管平台的账户信息,组合猜解得到E3系统管理员登陆账号密码,成功登陆E3系统,获取E3全部功能的操作权限,这个危害程度应该很高吧?

9、在E3系统的权限管理中,可以通过能够接受WM_GETTEXT消息的密码查看软件就能够查看到对应窗口的密码信息。在客管平台中也可以采用类似方式获取用户密码

E3.png





补充说明,顺便测试了网上几个能够下载到的管理客户端,如义务申通的E3平台,配置文件中密码使用Base64编码存储,很容易获取账号密码。

漏洞证明:

插一张客户端图片

.png

修复方案:

1、提高管理员的安全意识,加强密码的管控

2、客户端上更换更好的的本地密码信息存储的加密算法

3、管控远程登录的权限,关注管理后台的异常登录记录

版权声明:转载请注明来源 showonder@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-02-25 22:22

厂商回复:

谢谢

最新状态:

暂无


漏洞评价: