HanDs
管理员

[7月漏洞公开] 韵达快递一次内网漫游(VPN重置绕过) 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

社工+信息泄露 咯

详细说明:

首先混入韵达某省对账群

mask 区域
*****530*****





试着翻看群人员的信息 因为有些员工会把信息些在QQ里面



出现一处 看起来很像OA 登录账号 也发现韵达的账号结构 邮编+三位数编号

yd12.png





测试账号:

code 区域

mask 区域
*****/Yw32*****





登录VPN系统

code 区域
https://sqvpn.yundasys.com:8443/vpn/ui/view/index.html?actionId=index





但是现在的VPN不能通过客户端修改了 需要身份证+姓名



从登录后得知姓名

yd4.png







只差身份证了先抓包看点击重新绑定VPN手机号码

yd2.png





code 区域
HTTP/1.1 200 OK
Server: nginx/1.7.7
Date: Sun, 22 May 2016 12:35:28 GMT
Content-Type: application/json;charset=UTF-8
Connection: keep-alive
Cache-Control: no-cache, must-revalidate
Pragma: no-cache
Expires: Thu, 01 Jan 1970 00:00:00 GMT
X-Powered-By: Servlet/3.0 JSP/2.2
Content-Length: 208

{"errorCode":0,"msg":"操作成功ŠŸ","data":{"id":322000002,"password":"********","name":"陈

云‘","mobile":"182****3222","card_code":"342502********3812","upd_time":"2016-01-16 10:13:38.0","keys":

[322000002]}}





身份证的前6位和后四位已经有了 342502********3812 中间为年月日



本来想爆破结果发现 一天只能重置一次就赶紧drop包了



继续回到群里

yd16.png





这不就是那位VPN的号主



yd17.png





得到出生月份拼接



code 区域

mask 区域
*****80412*****





运气还不错啊

yd5.png





重置密码

yd6.PNG





然后去下载VPN客户端就在



VPN账号密码

mask 区域
*****/Wooy*****





code 区域
https://sqvpn.yundasys.com:8443/vpn/ui/view/index.html?actionId=index







后续内网:

韵达利用C/S客户端直接可登录大量系统 而且连接VPN后不需要进行MAC绑定等验证



下载客户端 最新网点版本

http://car.yundasys.com:81/yd_khd/mainfram.php

code 区域

mask 区域
*****/Yw32*****





yd10.png







看图吧



#1门户系统



yd7.png





yd8.png





#2 订单系统



yd11.png





#3 客户系统

yd9.png



漏洞证明:

yd11.png

修复方案:

1.员工安全细节

2.服务器返回内容最好完全隐藏

3.C/S端连入内网无需MAC绑定等验证


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
文谕
#1楼
发帖时间:2016-7-11   |   查看数:0   |   回复数:0
游客组
快速回复