“ 免责声明：本文涉及到的所有技术仅用来学习交流，严禁用于非法用途，未经授权请勿非法渗透。否则产生的一切后果自行承担！一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉，谢谢！

摘要  

• 在分析 MY EICHER安卓APP时，发现印度丰田通商保险经纪公司（”TTIBI”）子域上的Eicher汽车保费计算器网站暴露了微软企业云凭证。

• 发送邮箱的 API 接口向客户端返回的发送日志泄露邮箱账户密码。

• 该密码可用于登录 “[email protected] “微软邮箱帐户。且该邮箱帐户记录了他们发送给客户的所有信息，其中包括 657000封邮箱（约 25 GB），包含客户信息、保险单 PDF、密码重置链接、OTP 等。

• 此外，还可以访问其他微软云资源，包括但不限于企业目录、SharePoint 和 Teams。

丰田通商印度保险经纪公司和Eicher汽车公司

人人都知道丰田，但未必听说过印度丰田通商保险经纪公司（”TTIBI”）。丰田汽车由不同公司的庞大网络组成。TTIBI 隶属于日本丰田通商保险管理公司。TTIBI 成立于 2008 年，是 “印度领先的保险经纪公司“。

Eicher汽车（Eicher Motors） 是印度领先的汽车制造商之一。他们在皇家恩菲尔德汽车公司（Royal Enfield Motors）旗下生产摩托车，在与沃尔沃集团（Volvo Group）合资的 VE 商用车公司（VECV）旗下生产商用车。    

两家公司都有某种类型的保险合作关系，因为 TTIBI 网站上有一个专门的 Eicher 子域网站。

保费计算网站

在分析 MY EICHER安卓APP时，在一个 API 接口的 Java 类中发现了一个不起眼的 URL，这是一个指向高级计算器的链接：   

在浏览器中访问该链接：

在查看该网站的源代码时发现了一些非常有趣的代码：

该接口疑似为客户端邮箱发送功能接口。如果该接口可利用，就可以实现向任何人发送任意内容的邮箱，而且它将来自一个真正的 Eicher 邮箱地址。不过，看到 Bearer Authorization（承载者授权）后，显然要使用这个 API需以某种方式登录。先尝试构造未登录状态的 API 请求发送，本以为会返回 “401未授权”，但是并没有。

邮件不仅成功发送了，而且还返回了一个服务器错误，显示了邮件发送日志：

发现经过 base64 加密的密码。

能够任意发送邮箱功能已经够严重了，但邮箱账户密码的泄露又将其严重性提升到了一个新的高度。

邮箱帐户

这不是一个普通的邮箱账户，而是一个 noreply 邮箱账户。例如，当用户重置密码时，链接很可能来自 noreply 账户。在很多情况下，noreply可能只是 SendGrid、Postmark 等网站上的别名，但也可能是一个可以登录的真实账户。noreply账户是企业中最重要的账户，因为它记录了企业发送给客户的所有信息。在 TTIBI 的案例中的情况正是如此，泄露的信息量非常大：    

漏洞影响

邮箱账户中包含了个人隐私信息。首先，攻击者可以查看发送给客户的所有保险单–以下是不同保险公司的几个案例：

攻击者还可以查看一次性密码（OTP）和密码重置链接。攻击者可利用该漏洞轻松接管他人的保险账户。

还可以访问微软云上的资源，如企业目录、SharePoint 和 Teams：

密码保持不变

5个多月后，TTIBI尽管意识到该漏洞，但仍然没有更改电子邮件帐户的密码。    

原文始发于微信公众号（安全脉脉）：利用MY EICHER APP入侵丰田Eicher汽车公司