Platinum Mobile 1.0.4.850授权绕过漏洞—Hack之路

Platinum Mobile 1.0.4.850授权绕过漏洞
产品:Platinum Mobile
易受攻击的版本:1.0.4.850
固定版本:1.0.4.851
 CVE编号:-
影响:严重
 主页:https://www.platinumchina.com/en/products/p11
找到:2020-04-24
作者:李先生(慕尼黑办公室)
 SEC咨询漏洞实验室
SEC Consult的组成部分
欧洲| 亚洲| 北美
https://www.sec-consult.com
======================================= =====================

供应商说明:
-------------------
“ Platinum Mobile是基于Platinum HRM和ESS的移动办公系统
便携式设备实现人力资源信息化管理的工作流程
例如手机,平板电脑为主要形式和载体。新手机
该解决方案将使员工能够快速便捷地处理事务并
不受时间和地点的限制,从而有效地提高了效率
内部沟通和运营。用户可以直接使用他们的手机
设备登陆到客户端以完成一系列任务。与此同时,
行政人员可以随时做出决定和批准,并且
任何地方。”

资料来源:https://www.platinumchina.com/en/products/p11


业务推荐:
------------------------
建议应用此修复程序或将服务器组件更新到版本
1.0.4.851。


漏洞概述/说明:
-----------------------------------
1)访问控制损坏
移动应用程序连接到公司特定的服务器,该服务器执行
没有适当地限制对机密数据的访问。因此,经过身份验证
攻击者可以泄露公司的工资单,其他个人信息
员工没有适当的特权。


概念证明:
-----------------
1)访问控制损坏
移动应用程序的请求主要包括两个部分:XML消息
正文中的,以及查询字符串中的MD5哈希。

POST /MobileHandler.ashx?MessageHash=43a98be456b0213ce45e23fdf54c58b8 HTTP / 1.1
主持人:[已删除]
内容长度:276

<Message ID =“ msg1” MessageType =“ InvokeServiceMessage” Service =“ Payslip” Method =“ getMyPayslipMonthInfoForReleaseMany” Language =“ English” UserCode =“ user0” TokenID =“”> <Parameters> <String> 0000000537 </ String> <DateTime > 2020-03-31 00:00:00 </ DateTime> <null /> </ Parameters> </ Message>

分析移动应用程序可以发现以下算法
计算哈希:

MessageHash = hex_md5(转义(XmlMsg)+ TokenID);

此外,应用程序的服务器端部分运行以下逻辑
验证消息:
-从消息中提取“ UserCode”值
-查找与“ UserCode”关联的“ TokenID”
-计算并比较哈希
-如果有效,请信任并使用消息中的参数,该参数用作
  业务数据的真实引用(而不是“ UserCode”)。

有了这些信息,经过身份验证的攻击者就可以利用
元素“ Parameters”的任意值集(例如0000000537)和
使用攻击者的“ UserCode”和“ TokenID”来计算哈希值。

结果,另一名员工的工资单(例如,排名更高的
经理)可以透露。通过迭代这些值,攻击者可以
显示整个公司的全部工资数据。

在以下示例中,经过身份验证的用户“ user0”可以收集
“ user1”的个人信息,包括电话号码,电子邮件等。

POST /platinummobile/Handlers/MobileHandler.ashx?MessageHash=bf62c16cad7a6b27b0fee8e1a21409b7 HTTP / 1.1
主持人:[已删除]
内容长度:203

<Message ID =“ msg1” MessageType =“ InvokeServiceMessage” Service =“ MyAccount” Method =“ GetMyInfo” Language =“ English” UserCode =“ user0” TokenID =“”> <Parameters> <String> user1 </ String> </参数> </ Message>


脆弱/经过测试的版本:
-----------------------------
以下版本已经过测试,这是
测试时间:
-Android上的1.0.4.864
-iOS上的1.​​0.4.864
-服务器上的1.0.4.850


供应商联系时间表:
------------------------
2020-05-19:通过提供的电子邮件地址与供应商联系。
2020-05-20:就此问题进行交流。
2020-05-22:供应商承认此问题,并声称将发布一个修补程序
            在下一版本中修复之前。
2020-07-22:再次联系供应商。
2020-07-23:供应商告知已发布修补程序。
2020-08-19:客户确认此修复程序有效。
2020-10-01:发布通报。


解:
---------
应用此修复程序或将应用程序更新到最新版本1.0.4.851。

网站地址:https://www.hackzl.cn;发布者:hack之路,转转请注明出处:https://www.hackzl.cn/index.php/2020/10/08/platinum-mobile-1-0-4-850%e6%8e%88%e6%9d%83%e7%bb%95%e8%bf%87%e6%bc%8f%e6%b4%9e-hack%e4%b9%8b%e8%b7%af/

发表评论

邮箱地址不会被公开。 必填项已用*标注