HanDs
管理员

[7月漏洞公开] 爱卡汽车网某重要系统设计逻辑缺陷(成功绕过验证码限制)影响内部敏感信息 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

涉及内部财务/合同/供应商/渠道/项目/员工通讯录/考勤/资产 等等等等

详细说明:

爱卡办公系统

code 区域
http://bangong.xcar.com.cn/Admin/index.php?s=/Public/login



QQ20160601-1@2x.png





首次访问没有验证码,尝试登陆失败一次后,会出现验证码

QQ20160601-2@2x.png



第一次尝试爆破的时候,抓取没有验证码的登陆请求,



QQ20160602-0@2x.png



会提示必须输入验证码

漏洞证明:

在多次尝试以后,发现验证码是通过cookie中的PHPSESSID来判断的

QQ20160601-4@2x.png



修改PHPSESSID,成功绕过了验证码限制

QQ20160601-5@2x.png



QQ20160602-1@2x.png



QQ20160601-6@2x.png





一枚高权限账号



QQ20160602-2@2x.png



员工考勤

012328039366a8e56009c50bd84643707c7935b2.png





资产信息,看到了某员工用Mac办公 福利真好

QQ20160602-3@2x.png







员工信息可导出,继续渗透。。。。

QQ20160602-4@2x.png







修复方案:


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
卡汽 车网 重要 系统 设计 逻辑 缺陷 (
#1楼
发帖时间:2016-7-18   |   查看数:0   |   回复数:0
游客组
快速回复