我是如何获得某运输公司140000名员工的个人隐私的

iso60001  237天前

这是我的第一篇安全文章,欢迎大家关注我的Twitter帐号@thibeault_chenu

介绍

去年夏天的一个晚上,我冥冥之中瞄准了一家位于法国的大型运输公司的。

首先,我查看了一下该公司主要网站所使用的技术和框架(使用Wappalyzer),对网站有个大概的了解:

  • 是否能登录或注册?

  • 是否有管理员页面?

  • CMS中使用哪些插件?版本是啥?

22.png

可惜的是,那天晚上我未发现任何有趣的东西,除了知道网站使用了Drupal来搭建。接着,我使用不同的工具(如Sublist3r)来获取子域。

最终结果令我欣慰,我找到100多个子域。

33.png

进行了大概的筛选后,我决定对yy.xxxx.fradmin-yy.xxxx.fr下手。

子域yy.xxxx.fr

这个子域名涉及到职工委员会,通常来说,这种类型的站点应该只能由公司的内部员工访问。

我发现这个网站为员工提供了价格低廉的旅游,游玩,聚会等项目。

此站点使用了EZ Publish(5.x.x),因此在网址http://yy.xxxx.fr/user/login上有一个登录页面。

要进入此平台,需要一个身份号和密码,并且外来者无法在没有管理员验证的情况下创建新帐户。(下图为身份号示例)

44.png

我在各大社交平台进行了一番搜索,发现有几个内部员工在Twitter上贴了自己的罚单照片,而在这些罚单上,有发出惩罚的管理人员的身份号。

而在获得了这些身份号后,就开始暴力破解登录密码,因为网站没有对暴力破解做任何限制(CAPTCHA以及WAF都不存在)。

但其实我很不喜欢暴力破解,因为这太无聊了,所以接下来让我们讨论另一个子域。

子域yy-admin.xxxx.fr

如我所料,这个站点是前一个子域的EZ Publish管理站点。

55.png

哦!好像可以创建新帐户。

66.png77.png

经过一系列操作,我得到一个新帐户,该试试能不能登录到yy.xxxx.fr。

没问题!我的“新”帐户已经可以访问整个平台了。

88.png

登录后,我可以通过网址yy.xxxx.fr/content/edit/11111111来修改我们的帐户信息

99.png

在翻看网页功能时,我立即想到这可能存在IDOR漏洞,如果我更改网址yy.xxxx.fr/content/edit/11111111后的11111111,我也许可以访问另一个帐户。

100.png

好的!现在,我知道该公司大约有140000名员工,只要将网址后的数字加一或者减一,就可以遍历出所有的用户。

而从这些用户信息中,我可以知道:

  • 街道

  • 邮政编码

  • 地址

  • 城市

  • 身份号

  • 电子邮件地址(工作和私人)

但可惜的是,我还是看不到这些用户的密码(用了统一的字符代替)。

让我们继续。

管理权限

值得注意的是,yy.xxxx.fr/content/edit/11111111这个页面不仅可以查看信息,还能编辑信息。所以,我们可以试试更改管理员密码,然后再访问。

管理员通常是网站第一个用户(ID=1)。

110.png

最后,我成功登录了管理员帐号,并看到了很多其它种类的私密数据。

总结

  • 获取约14万名前雇员或雇员的隐私信息。

  • 有可能更进一步的管理网站。

  • 有可能能更改全体雇员的密码,甚至对其他域名产生影响。

  • 有可能在进入管理小组后通过电子邮件进行网络钓鱼。

目前该公司已收到我的报告,并通过重设网站访问权限来解决这个问题。

感谢你的阅读!

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://medium.com/@thbcn/how-did-i-access-the-personal-data-of-140-000-employees-of-a-transport-company-ad2edb7b7dd8

最新评论

昵称
邮箱
提交评论

友情链接:FOFA FOEYE BCSEC BAIMAOHUI 安全客 i春秋

nosec.org All Rights Reserved 京ICP备15042518号