绕过携程某接口双重限制进行扫号（测试3W数据成功破解391个账号）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-071274

漏洞标题：绕过携程某接口双重限制进行扫号（测试3W数据成功破解391个账号）

漏洞作者： niliu

提交时间：2014-08-06 17:01

修复时间：2014-09-29 20:06

公开时间：2014-09-29 20:06

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-08-06：该漏洞正等待厂商内部评估
2014-08-06：厂商已经确认，与白帽子共同解决该漏洞中，漏洞信息仅向厂商公开
2014-08-26：细节向核心白帽子及相关领域专家公开
2014-09-05：细节向普通白帽子公开
2014-09-15：细节向实习白帽子公开
2014-09-29：细节向公众公开

简要描述：

携程某处接口双重限制可被绕过进行扫号
测试某N中前3w条数据，成功破解391个账号
可登陆他人账号

详细说明：

测试时偶然发现的
接口页面

http://ct.ctrip.com/crptravel/index.aspx

企业差旅自助平台
虽然说是企业用的平台，但是也会影响到主站普通用户数据
具体过程思路如下：
首先页面登陆随便输入一个用户名admin
连续以不同的密码登陆同一个账号，失败5次后系统会锁定该用户30分钟...

于是想着以密码不变，对用户名进行猜解..
但是尝试3次以后会弹出验证码，于是第一次故意输入错误的验证码，页面虽然提示验证码错误，但是发现验证码无变化，所以导致可以重复使用验证码进行fuzz

但是企业的平台为什么会影响到普通用户呢？看下面
先简单测试几个用户名观察一下
成功破解了一个用户

登陆试一下，结果提示：

然后发现成功破解出的用户名的返回页面代码中的一个链接

http://ct.ctrip.com/corptravel/mainpage.aspx

从链接上看应该是用户中心页面说明用户密码是正确的，只是非企业用户，于是去主站登陆，成功。
用户名：guo 密码：123456

于是接下来就可以用大数据进行扫号，由于时间关系，仅测试某n前3w条数据

成功破解391个账号



mask 区域

*****.com	la*****
*****q.com	*****
*****com	ch*****
*****com	syh*****
*****6.com	8*****
*****a.com	52*****
*****com	315*****
*****3.com	*****
*****com	jyp1*****
*****com	898*****
*****ail.com	*****
*****o.cn	zy*****
*****.com	hu*****
*****COM	mm1*****
*****.com	3*****
*****6@163.co*****
*****.com	198*****
*****sina.com	*****
*****3.com	8*****
*****om	guoha*****
*****com	gyt*****
*****ptec.com	*****
*****w.cn	1*****
*****163.com	*****
*****3.com	1*****
*****com	237*****
*****com	liu*****
*****il.com	0*****
*****63.com	*****
*****mail.com	*****
*****h.net	hu*****
*****com	zn*****
*****.com	s1*****
*****com	778*****
*****6.com	51*****
*****3.com	2*****
*****3.com	w*****
*****ail.com	*****
*****com	swt1*****
*****q.com	*****
*****63.com	a1*****
*****l.com	77*****
*****a.com	1*****
*****.com	2*****
*****.com	13*****
*****om	7216*****
*****.com	wes*****
*****com	471*****
*****om	lf88*****
*****com	wan*****
*****.com	19*****
*****q.com	*****
*****hoo.cn	*****
*****26.com	*****
*****.com	65*****
*****om	xuji*****
*****3.com	1*****
*****om	2513*****
*****com	86*****
*****na.com	*****
*****com	zhl*****
*****com	881*****
*****mail.com*****
*****.com	zs*****
*****.com	15*****
*****163.com*****
*****3.com	*****
*****com	can*****
*****l.com	*****
*****com	xq8*****
*****com	ch*****
*****om	1989*****
*****q.com	*****
*****q.com	*****
*****q.com	*****
*****.com	gao*****
*****na.com	1*****
*****.com	41*****
*****com	24*****
*****com	063*****
*****.com	816*****
*****.com	48*****
*****q.com	*****
*****3.com	1*****
*****com	1376*****
*****om	wds*****
*****ail.com*****
*****63.com	*****
*****hu.com	7*****
*****m	liying*****
*****3.com	6*****
*****.com	m*****
*****com	xlk*****
*****3.com	*****
*****o.com.cn*****
*****yeah.net	*****
*****om	645*****
*****m	swallo*****
*****com	lc*****
*****.com	5*****
*****6.com	19*****
*****om	123*****
*****.com	s*****
*****com	su*****
*****a.com	at*****
*****126.com	*****
*****126.com	*****
*****q.com	*****
*****l.com	ti*****
*****q.com	q*****
*****na.com	7*****
*****com	afr*****
*****com	198*****
*****63.com	8*****
*****.cn	wa*****
*****.com	m*****
*****ail.com	*****
*****6.com	20*****
*****il.com	a*****
*****il.com	*****
*****om	935*****
*****om	huan*****
*****6.com	w*****
*****q.com	*****
*****.com.cn	7*****
*****6.com	R*****
*****.com.cn	4*****
*****.cn	616*****
*****com	fen*****
*****.com	wo*****
*****.com	33*****
*****3.com	*****
*****m	LuoJia*****
*****6.com	*****
*****m	selina*****
*****hoo.cn	*****
*****com	lao*****
*****.com	li*****
*****3.com	a*****
*****3@qq.com	*****
*****163.com*****
*****.com	d*****
*****m	LOVEba*****
*****q.com	*****
*****ina.com	5*****
*****net	879*****
*****6.com	b*****
*****@163.com	*****
*****	zzz248*****
*****com	19*****
*****6.com	s*****
*****com	135*****
*****om	198*****
*****.com	gh*****
*****com	lhw*****
*****163.com	*****
*****26.com	*****
*****tmail.com*****
*****6.com	30*****
*****.com	3*****
*****om	asd*****
*****om.cn	1*****
*****com	wq*****
*****63.com	ji*****
*****om	hh5*****
*****.qq.com	s13*****
*****q.com	*****
*****.com	c*****
*****com	zhang*****
*****.com	19*****
*****l.com	wb*****
*****com	zl*****
*****.com	65*****
*****il.com	l*****
*****l.com	2*****
*****.com	zh*****
*****6.com	h*****
*****om	imi*****
*****.com	83*****
*****com	rac*****
*****126.com	*****
*****eah.net	*****
*****com	ttt*****
*****.com	19*****
*****com	bin*****
*****a.com	64*****
*****mail.com	*****
*****o.com.hk*****
*****com.cn	74*****
*****om	zouqia*****
*****3.com	w*****
*****il.com	*****
*****il.com	2*****
*****com	xi*****
*****.com	8*****
*****.com	19*****
*****.com	zc*****
*****63.com	*****
*****com	zhi*****
*****.com	820*****
*****ah.net	*****
*****l.com	1*****
*****om	y90*****
*****com	372*****
*****3.com	0*****
*****.com	l*****
*****.com	ia*****
*****com	yc*****
*****.com	xb*****
*****.com	c*****
*****163.com	*****
*****m	jjf697*****
*****com	669*****
*****sina.com*****
*****qq.com	*****
*****.com	21*****
*****.com	z*****
*****n.com	*****
*****hu.com	*****
*****mail.com*****
*****om	1981*****
*****h.net	*****
*****com	jzz*****
*****6.com	s*****
*****.com	Co*****
*****com	zj*****
*****.com	1*****
*****3.com	1*****
*****.com	y*****
*****com	1359*****
*****q.com	*****
*****a.com	*****
*****om	w21*****
*****63.com	*****
*****l.com	9*****
*****na.com	*****
*****om	hnc*****
*****O.COM	3*****
*****om	569*****
*****@163.com*****
*****com.cn	13*****
*****.com	os*****
*****q.com	*****
*****3.com	*****
*****3.com	2*****
*****om	cjc*****
*****ail.com	*****
*****il.com	*****
*****26.com	*****
*****.com	8*****
*****com	km*****
*****.com	w*****
*****om	fuj*****
*****6.com	1*****
*****com	sun*****
*****ina.com	1*****
*****3.com	*****
*****com	85*****
*****6.com	j*****
*****q.com	*****
*****ail.com*****
*****l.com	1*****
*****com	881*****
*****3.com	s*****
*****63.com	*****
*****com	lg8*****
*****com	11*****
*****l.com	ja*****
*****.com	z*****
*****3.com	*****
*****q.com	*****
*****	my179*****
*****il.com	k*****
*****.cn	1394*****
*****mail.com	*****
*****sn.com	*****
*****com	wud*****
*****3.com	y*****
*****.com	xn*****
*****.com	le*****
*****3.com	x*****
*****3.com	y*****
*****@sina.co*****
*****.com	s*****
*****om	wlx2*****
*****com	876*****
*****3.com	f*****
*****o.com.cn*****
*****.com	s*****
*****om	dhla*****
*****il.com	38*****
*****com	x8*****
*****com	has*****
*****a.com	p*****
*****.com	w*****
*****3.com	4*****
*****m.com	*****
*****3.com	b*****
*****om	wjq139*****
*****.com	x*****
*****com	45*****
*****.com	he2*****
*****ail.com*****
*****3.com	N*****
*****3.com	hjf*****
*****edu.cn	*****
*****q.com	*****
*****o.com.cn*****
*****u@163.co*****
*****s.com	*****
*****com	383*****
*****om	1437*****
*****com	jsa*****
*****u.com	*****
*****q.com	Lo*****
*****@qq.com	*****
*****.com	wj1*****
*****ina.com*****
*****6.com	q*****
*****na.com	o*****
*****mat.com*****
*****3.com	z*****
*****u.com	8*****
*****.com	2*****
*****l.com	*****
*****oo.com.c*****
*****com	30*****
*****3.com	5*****
*****63.com	*****
*****3.com	w*****
*****om	hon*****
*****u.com	w*****
*****a.com	fo*****
*****com	hrj*****
*****qq.com	*****
*****.com	liu*****
*****3.com	*****
*****ail.com	*****
*****na.com	s*****
*****com	maz*****
*****ail.com*****
*****om	797*****
*****163.ne*****
*****.com	wan*****
*****q.com	*****
*****na.com	*****
*****com	xi*****
*****.com	n*****
*****com	638*****
*****il.com	*****
*****m	qyijQ1*****
*****qq.com	*****
*****.com	p*****
*****com	77*****
*****ail.com*****
*****.com	wo*****
*****se.com	*****
*****3.com	*****
*****63.net	*****
*****ail.com	w*****
*****tmail.co*****
*****.com	2l*****
*****com	b0*****
*****m	123456*****
*****na.com	At*****
*****com	26*****
*****com	tlt*****
*****.com	zha*****
*****3.com	*****
*****63.com	D*****
*****.com	3*****
*****com	xx*****
*****com	woa*****
*****com	cl1*****
*****ail.com	h*****
*****.com	or*****
*****3.com	1*****
*****m.cn	i*****
*****163.com	*****
*****com	hzy*****
*****com	sha*****
*****com	82*****
*****mail.co*****
*****63.com	1*****
*****6.com	27*****
*****l.com	z*****
*****com	52ca*****
*****q.com	*****
*****.jp	regi*****
*****com	208*****

随机登陆部分测试
t

mask 区域

*****gmai*****

mask 区域

*****@163*****

mask 区域

*****11@1*****

订单中可查看个人信息

漏洞证明：

如上

修复方案：

对登陆接口再限制严格一些。

版权声明：转载请注明来源 niliu@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2014-08-06 17:34

厂商回复：

此漏洞为商旅客户漏洞，和散客用户是有区别的，但我们认为问题还是挺严重的，我们会尽快安排人员进行该漏洞的修复工作。
再次感谢您提交此漏洞信息。

漏洞评价：

2014-09-29 20:18 | HackBraid ( 核心白帽子 | Rank:1545 漏洞数:260 | ...........................................)

扫号漏洞确实挺严重
2014-09-29 20:25 | Coody ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产；如遇接单收徒、绝非本人所...)

我是来看洞主的
2014-09-30 08:39 | godblessme ( 实习白帽子 | Rank:34 漏洞数:3 | 维护世界和平)

我们认为问题还是挺严重的
2014-09-30 21:33 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

这个就是1w的么，哈哈，看来携程的漏洞提交到乌云比在携程src给力多了啊！
2014-10-01 15:19 | niliu ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

@px1624 没那么多。。。
2014-10-20 12:51 | zzR ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1：5 无限量收 [平台担保])

3个美刀是5K?
2015-01-21 16:49 | _Thorns ( 普通白帽子 | Rank:882 漏洞数:157 | 收wb 1：5 无限量收 [平台担保]))

3$是5K

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-071274

漏洞标题：绕过携程某接口双重限制进行扫号（测试3W数据成功破解391个账号）

相关厂商：携程旅行网

漏洞作者： niliu

提交时间：2014-08-06 17:01

修复时间：2014-09-29 20:06

公开时间：2014-09-29 20:06

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 niliu@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-071274

漏洞标题：绕过携程某接口双重限制进行扫号（测试3W数据成功破解391个账号）

相关厂商：携程旅行网

漏洞作者： niliu

提交时间：2014-08-06 17:01

修复时间：2014-09-29 20:06

公开时间：2014-09-29 20:06

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-071274"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 niliu@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：