如何从一个过期客户端中获得中通K8系统和中通中天核心系统管理权限
中通速递全部管理信息泄露,中通速递全部用户信息泄露,中通速递全部业务信息泄露。这么说应该不过分吧?
中通速递是我很喜欢的快递,虽然速度不是最有竞争力的,但是性价比还是出众的,时效性比前几年有显著提高,这与后台信息系统的强大支持分不开,中通有着各种各样信息系统,但是安全管理如何呢?下面我以两个重要信息系统为例(我就不分两次写刷两次rank了),来找出中通信息安全管理上存在的问题。我想贵司的工作人员应该比我更能够意识到这两个系统被入侵的危害严重程度吧?
STEP1:我在搜索引擎中搜索“中通速递信息管理系统”得到了这个客户端
STEP2:读取这个客户端中LocalData下数据库保存的账户信息
这只是一个普通账户,密码应该是SHA256加密过的,难以解密,但是获得了“站点”和“账号”的格式。
STEP3:我们访问中通速递的内部办公系统(百度一下就找到了):http://www.zt-express.com/ 尝试用弱口令123456登陆刚才获取的账号。顺利进入了内部办公系统。
STEP4:在这个系统中获取了如下信息
#资料下载和常用软件里下载了最新的中通中天核心系统和中通K8系统的客户端
#通知--部门信息--IT部“新增k8系统‘安全机制限制电脑登陆k8系统’解除功能 教程”获得下图
这里面涉及了众多账户信息
STEP5:尝试用这些账户的弱口令123456登录中天核心系统http://manager.zt-express.com/system/main.aspx,上图中绿框内账号登陆成功
可以看到该账户对用户的账号密码有很高的权限
STEP6:找到用户编号为001的系统管理员--->点击修改--->账号信息,可以直接读取密码栏的明文密码信息
STEP7:用该账户密码登录K8成功!
从贵司员工的职位上来看,该账户应该拥有最高的管理权限,就没继续深入判断了
STEP8:同理可以在网页版中天系统中获得任意中天客户端的登录账户,直到寻找到最高权限用户
业务敏感和系统高级功能信息
没有继续深入,但足以表明其危害。
修复方案:
避免明文密码的存储,并返回到用户端
加强对中天系统用户管理权限的控制
信息系统安全不仅仅是系统安全性要强大,同样操作人员的安全意识也应该加强。