当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-022494

漏洞标题:一个XSS导致汉庭酒店几个内部关键系统的沦陷,以及盲打后台无法访问的利用与分析技巧

相关厂商:汉庭酒店

漏洞作者: 胯下有杀气

提交时间:2013-04-25 14:48

修复时间:2013-06-09 14:49

公开时间:2013-06-09 14:49

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-04-25: 细节已通知厂商并且等待厂商处理中
2013-04-25: 厂商已经确认,细节仅向厂商公开
2013-05-05: 细节向核心白帽子及相关领域专家公开
2013-05-15: 细节向普通白帽子公开
2013-05-25: 细节向实习白帽子公开
2013-06-09: 细节向公众公开

简要描述:

1、XSS盲打到后台,发现无法访问,难道这就被终结了?非也,看杀气哥怎么突破。
2、如何利用后台的缺陷拿到密码,进行长期控制?cookie与密码兼得。
3、后台权限的横向扩展。
4、拿下主站FTP权限。
5、重要服务间隔离不当的安全隐患。

详细说明:

那天恰巧刷乌云,看到有人提交漏洞 WooYun: 汉庭优惠券免费无限领取漏洞,刷券咯~ ,汉庭就进入了我的眼帘,这次测试只是想起貌似这个酒店有我的资料,想看看安不安全。。。
第一想法还是盲打,没错,在客户反馈中尝试了几次,怕有前端的限制,用tamper data直接拦截向后台发送xss代码,这个是白帽必备技能了,不在废话,很幸运,cookie弹了回来。

cookie.png


杀气哥想截图证明下可进后台的影响就提交乌云,很常见的一幕发生了,后台打不开,也ping不通。。。

ping.png


也许一般的白帽子到这里就结束了,杀气哥突然来了兴趣,因为这里有两个小细节引起了我的注意,一个是cookie中竟然包括了管理员帐号和明文密码;另一点是一般情况下后台无法访问要么是有ACL限制,要么是个内网IP,但是ping不出IP说明了什么?

1)内部DNS
2)host访问


第一种情况对于酒店来说可能性不大,因为办公网络成本会变高,猜测是后者(因为和主站都是.net构架),ping了汉庭主站

ping www.htinns.com
PING cc00070.h.cncssr.chinacache.net (111.161.38.20): 56 data bytes


擦CDN,ping @记录

ping htinns.com
PING htinns.com (218.83.157.3): 56 data bytes


这个靠谱,然后本地设置个hosts,将后台域名绑定到这个IP,在打开,bingo!

.png


用劫持的cookie和账户密码分别访问下

1.jpg


嗯,可以使用了,后台测试暂且先到这里。
-----------------------------------------------
我突然对汉庭的数据安全保怀疑态度了,就再次深入检测一下。刚刚登录后台时,用户名有个提示“输入公司邮箱"@"前的姓名缩写”,邮箱跟这个是打通的?这让我想起了俩关键字,“域”、“Outlook”!赶紧输入 https://mail.htinns.com ,中了,用之前获取到的帐号和密码登录尝试一下,不设防啊。

outlook.jpg


随手搜索了个“密码”关键字

mail.jpg


貌似发现了主站的FTP。。。

25144301788931c0fc8510f0bd7e9be5800c8476.jpg


真的可进啊。。。
到这里,我对汉庭的安全已经有了大致的了解了,也感觉测试已经到位了,没必要在深入拿shell或者真正的用户库来证明了,义务检测,不要走的太深,否则厂商会误会的:)

漏洞证明:

这次测试只是想知道用户数据安全,现在看起来有点寒心,希望厂商可以从以上的详细测试过程中找到一些脆弱点并加以防范。
会员数据没有接触,不知道存在什么样的安全问题,工作事情较多,就不去深入看下去了,如果这块有厂商授权我还是有兴趣试试的,但是目前,就此打住,也希望其他白帽看到这里时也注意下,安全测试适可而止 :)
最后在给个ping结果,暗示一些隐患。。

ping ftp.htinns.com
PING ftp.htinns.com (27.115.28.245): 56 data bytes
ping mail.htinns.com
PING mail.htinns.com (27.115.28.245): 56 data bytes

修复方案:

如上~

版权声明:转载请注明来源 胯下有杀气@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2013-04-25 17:40

厂商回复:

感谢漏洞报告,已安排相关人员跟进修复,谢谢!

最新状态:

暂无

漏洞评价:

评论

  1. 2013-04-25 14:49 | Shady ( 路人 | Rank:24 漏洞数:8 | Test)

    胯下有杀气

  2. 2013-04-25 14:49 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    杀气哥专场,怎么能不关注?太多打到无法登录的后台了。求突破

  3. 2013-04-25 14:52 | plt ( 普通白帽子 | Rank:109 漏洞数:21 | 我神马都不懂。。。)

    同求突破后台登陆

  4. 2013-04-25 14:53 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    标题好长、、、难道说cookie中 密码明文了。。。

  5. 2013-04-25 15:05 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @胯下有杀气 从实际危害角度出发,而不是单一的只为了提交漏洞而提交漏洞,支持~

  6. 2013-04-25 15:25 | 超人不会飞 ( 实习白帽子 | Rank:85 漏洞数:23 | 好好学习,天天向上!)

    mark一下!

  7. 2013-04-25 15:26 | Defa ( 普通白帽子 | Rank:113 漏洞数:13 | <img src=1 onerror=alert(1)>)

    大神,

  8. 2013-04-25 21:33 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:41 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    胯下有杀气

  9. 2013-04-25 22:17 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:170 | 力不从心)

    这个给力

  10. 2013-05-16 09:35 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:170 | 力不从心)

    很给力啊!

  11. 2013-05-16 11:34 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @wefgod 看到细节了?

  12. 2013-05-16 12:00 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:170 | 力不从心)

    @疯狗 看见了。

  13. 2013-05-16 12:42 | dyun ( 普通白帽子 | Rank:102 漏洞数:15 | [code][/code])

    看来得赶紧变帽子呀...

  14. 2013-05-25 18:06 | ACGT ( 实习白帽子 | Rank:32 漏洞数:4 | another script kiddie)

    ftp和mail不在同一个服务器上,只是公网出口是同一个IP而已。。而且,那个ftp只有一些图片、海报之类资源,拿不到更高权限总结:楼主离打入内网还有一段距离

  15. 2013-05-25 20:19 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @ACGT 这位是汉庭内部人员?还是曾经渗过的汉庭的兄台呢?好奇~

  16. 2013-06-09 17:00 | MEng ( 路人 | Rank:1 漏洞数:2 | 刚接触这个领域、来学习了)

    思路不错,学习了

  17. 2013-06-09 17:08 | hacker@sina.cn ( 普通白帽子 | Rank:288 漏洞数:24 | ANONYMOUS)

    不错

  18. 2013-06-09 17:28 | possible ( 普通白帽子 | Rank:373 漏洞数:32 | everything is possible!)

    好牛的过程

  19. 2013-06-16 22:11 | 3King ( 普通白帽子 | Rank:1129 漏洞数:81 | 【study at HNUST】非常感谢大家的关注~ 大...)

    我擦.. 还能这样.... 学习了