我是如何获得某运输公司140000名员工的个人隐私的

这是我的第一篇安全文章，欢迎大家关注我的Twitter帐号@thibeault_chenu

介绍

去年夏天的一个晚上，我冥冥之中瞄准了一家位于法国的大型运输公司的。

首先，我查看了一下该公司主要网站所使用的技术和框架（使用Wappalyzer），对网站有个大概的了解：

• 是否能登录或注册？

• 是否有管理员页面？

• CMS中使用哪些插件？版本是啥？

可惜的是，那天晚上我未发现任何有趣的东西，除了知道网站使用了Drupal来搭建。接着，我使用不同的工具（如Sublist3r）来获取子域。

最终结果令我欣慰，我找到100多个子域。

进行了大概的筛选后，我决定对yy.xxxx.fr和admin-yy.xxxx.fr下手。

子域yy.xxxx.fr

这个子域名涉及到职工委员会，通常来说，这种类型的站点应该只能由公司的内部员工访问。

我发现这个网站为员工提供了价格低廉的旅游，游玩，聚会等项目。

此站点使用了EZ Publish（5.x.x），因此在网址http://yy.xxxx.fr/user/login上有一个登录页面。

要进入此平台，需要一个身份号和密码，并且外来者无法在没有管理员验证的情况下创建新帐户。（下图为身份号示例）

我在各大社交平台进行了一番搜索，发现有几个内部员工在Twitter上贴了自己的罚单照片，而在这些罚单上，有发出惩罚的管理人员的身份号。

而在获得了这些身份号后，就开始暴力破解登录密码，因为网站没有对暴力破解做任何限制（CAPTCHA以及WAF都不存在）。

但其实我很不喜欢暴力破解，因为这太无聊了，所以接下来让我们讨论另一个子域。

子域yy-admin.xxxx.fr

如我所料，这个站点是前一个子域的EZ Publish管理站点。

哦！好像可以创建新帐户。

经过一系列操作，我得到一个新帐户，该试试能不能登录到yy.xxxx.fr。

没问题！我的“新”帐户已经可以访问整个平台了。

登录后，我可以通过网址yy.xxxx.fr/content/edit/11111111来修改我们的帐户信息

在翻看网页功能时，我立即想到这可能存在IDOR漏洞，如果我更改网址yy.xxxx.fr/content/edit/11111111后的11111111，我也许可以访问另一个帐户。

好的！现在，我知道该公司大约有140000名员工，只要将网址后的数字加一或者减一，就可以遍历出所有的用户。

而从这些用户信息中，我可以知道：

• 姓

• 名

• 街道

• 邮政编码

• 地址

• 城市

• 身份号

• 电子邮件地址（工作和私人）

但可惜的是，我还是看不到这些用户的密码（用了统一的字符代替）。

让我们继续。

管理权限

值得注意的是，yy.xxxx.fr/content/edit/11111111这个页面不仅可以查看信息，还能编辑信息。所以，我们可以试试更改管理员密码，然后再访问。

管理员通常是网站第一个用户（ID=1）。

最后，我成功登录了管理员帐号，并看到了很多其它种类的私密数据。

总结

• 获取约14万名前雇员或雇员的隐私信息。

• 有可能更进一步的管理网站。

• 有可能能更改全体雇员的密码，甚至对其他域名产生影响。

• 有可能在进入管理小组后通过电子邮件进行网络钓鱼。

目前该公司已收到我的报告，并通过重设网站访问权限来解决这个问题。

感谢你的阅读！

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://medium.com/@thbcn/how-did-i-access-the-personal-data-of-140-000-employees-of-a-transport-company-ad2edb7b7dd8