“ 免责声明:本文涉及到的所有技术仅用来学习交流,严禁用于非法用途,未经授权请勿非法渗透。否则产生的一切后果自行承担!一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢!
摘要
-
在分析 MY EICHER安卓APP时,发现印度丰田通商保险经纪公司(”TTIBI”)子域上的Eicher汽车保费计算器网站暴露了微软企业云凭证。
-
发送邮箱的 API 接口向客户端返回的发送日志泄露邮箱账户密码。
-
该密码可用于登录 “[email protected] “微软邮箱帐户。且该邮箱帐户记录了他们发送给客户的所有信息,其中包括 657000封邮箱(约 25 GB),包含客户信息、保险单 PDF、密码重置链接、OTP 等。
-
此外,还可以访问其他微软云资源,包括但不限于企业目录、SharePoint 和 Teams。
丰田通商印度保险经纪公司和Eicher汽车公司
人人都知道丰田,但未必听说过印度丰田通商保险经纪公司(”TTIBI”)。丰田汽车由不同公司的庞大网络组成。TTIBI 隶属于日本丰田通商保险管理公司。TTIBI 成立于 2008 年,是 “印度领先的保险经纪公司“。
Eicher汽车(Eicher Motors) 是印度领先的汽车制造商之一。他们在皇家恩菲尔德汽车公司(Royal Enfield Motors)旗下生产摩托车,在与沃尔沃集团(Volvo Group)合资的 VE 商用车公司(VECV)旗下生产商用车。
两家公司都有某种类型的保险合作关系,因为 TTIBI 网站上有一个专门的 Eicher 子域网站。
保费计算网站
在分析 MY EICHER安卓APP时,在一个 API 接口的 Java 类中发现了一个不起眼的 URL,这是一个指向高级计算器的链接:
在浏览器中访问该链接:
在查看该网站的源代码时发现了一些非常有趣的代码:
该接口疑似为客户端邮箱发送功能接口。如果该接口可利用,就可以实现向任何人发送任意内容的邮箱,而且它将来自一个真正的 Eicher 邮箱地址。不过,看到 Bearer Authorization(承载者授权)后,显然要使用这个 API需以某种方式登录。先尝试构造未登录状态的 API 请求发送,本以为会返回 “401未授权”,但是并没有。
邮件不仅成功发送了,而且还返回了一个服务器错误,显示了邮件发送日志:
发现经过 base64 加密的密码。
能够任意发送邮箱功能已经够严重了,但邮箱账户密码的泄露又将其严重性提升到了一个新的高度。
邮箱帐户
这不是一个普通的邮箱账户,而是一个 noreply 邮箱账户。例如,当用户重置密码时,链接很可能来自 noreply 账户。在很多情况下,noreply可能只是 SendGrid、Postmark 等网站上的别名,但也可能是一个可以登录的真实账户。noreply账户是企业中最重要的账户,因为它记录了企业发送给客户的所有信息。在 TTIBI 的案例中的情况正是如此,泄露的信息量非常大:
漏洞影响
邮箱账户中包含了个人隐私信息。首先,攻击者可以查看发送给客户的所有保险单–以下是不同保险公司的几个案例:
攻击者还可以查看一次性密码(OTP)和密码重置链接。攻击者可利用该漏洞轻松接管他人的保险账户。
还可以访问微软云上的资源,如企业目录、SharePoint 和 Teams:
密码保持不变
5个多月后,TTIBI尽管意识到该漏洞,但仍然没有更改电子邮件帐户的密码。
原文始发于微信公众号(安全脉脉):利用MY EICHER APP入侵丰田Eicher汽车公司