当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0106121

漏洞标题:从信游科技一封垃圾邮件引发的血案(从此旅游不花钱)

相关厂商:xinyour.com

漏洞作者: 0x0d

提交时间:2015-04-06 09:56

修复时间:2015-05-21 09:58

公开时间:2015-05-21 09:58

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-06: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-05-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

清明节了,人赢们都出去旅游了,作为苦逼的单身狗只有在宿舍敲代码。
刚好一个小伙伴收到了清明节出去双人旅游的垃圾邮件,单身狗们纷纷表示受到了暴击。

详细说明:

打开邮件链接,进入一家旅行社的网站,粗略检测了下,没找到什么大漏洞,还有安全狗看着。本来准备看看旁站,结果看到了一个“全社通旅游系统”的链接,于是点了进去:
http://www.xinyour.net/
貌似全国上百个旅行社在用的样子,想下载个审计下,结果能找到的都是付费的,学生狗表示压力很大:

2015-04-06_003302.jpg


然后又发现“全社通”是“信游天下”搞的旅游系统,而“信游天下”感觉很厉害的样子:
信游网,中国旅游创富第一网,是中国首家以BMC(供应商-媒介中心-消费者)商业模式串联中国私家车平台、中国机票酒店门票平台、中国旅游线路交易平台,为众多用户提供一个旅行快捷实惠、操作简易规范、奖金丰厚实时的旅行及旅游创业创富网。
http://www.xinyour.com/About-3.html
于是跑了一下xinyour.com的子域名,加上google hack,找到了一个管理平台:
http://manage.xinyour.com/
试了下有万能密码:

2015-04-06_000705.jpg


不过貌似做了IP限制:

2015-04-06_000721.jpg


所以先上sqlmap跑了下,sa权限:

web server operating system: Windows Vista
web application technology: ASP.NET 4.0.30319, ASP.NET, Microsoft IIS 7.0
back-end DBMS: Microsoft SQL Server 2005
available databases [49]:
[*] _XinYour.AppStore
[*] _XinYour.Base
[*] _XinYour.ConfigCenter
[*] _XinYour.EHotel
[*] _XinYour.Flight
[*] _XinYour.kt
[*] _XinYour.SMS
[*] _XinYour.Travel
[*] _XinYour.UCenter
[*] _XinYour.WWW
[*] _XinYour.XinPay
[*] Alipay_Trans
[*] aqimdb
[*] BBS
[*] db_fdxh
[*] distribution
[*] drsWeb
[*] EBPP
[*] ecar_bbs
[*] ECarSys
[*] eche_bbs
[*] ECManageSys
[*] eHotel
[*] EPcar
[*] HongShi
[*] JobXinyour
[*] master
[*] MeiHu
[*] MemberC
[*] MenPiaoSys
[*] MenPiaoWeb
[*] model
[*] msdb
[*] newByCar
[*] News
[*] PDMWLH
[*] SceBK
[*] szlxx.com
[*] tempdb
[*] Ticket
[*] uncard
[*] UserCore
[*] weather
[*] wlhdb
[*] XinYour.TravelTest
[*] XueHuaEnroll
[*] xy_test2
[*] XySce
[*] zxySince


Database: _XinYour.UCenter
+-------------------+---------+
| Table             | Entries |
+-------------------+---------+
| dbo.UCenter_Users | 215776  |
+-------------------+---------+


然而只有一个注入点并没有什么卵用,看了看页面源码,有个隐藏的input:

2015-04-06_000756.jpg


小伙伴表示可能是后台跳转链接,于是把value改成'/'试了试——结果就进了:

2015-04-06_000223.jpg


月入百万:

2015-04-06_000317.jpg


20多万个用户:

2015-04-06_000517.jpg


最后找了个上传,传了小马:
各种备份,不只一个站:

2015-04-06_002306.jpg


2015-04-06_002744.jpg


权限挺高,最后反弹了端口连上数据库,账户余额想怎么改就怎么改……

漏洞证明:

shell地址:http://manage.xinyour.com/pictures/WWW/News/201545205546141.aspx

2015-04-06_000223.jpg


Database: _XinYour.UCenter
+-------------------+---------+
| Table             | Entries |
+-------------------+---------+
| dbo.UCenter_Users | 215776  |
+-------------------+---------+

修复方案:

1.重写后台登录吧
2.很多表里明文密码,不加下密吗?
3.限制上传目录执行权限
4.全社通旅游系统还有些越权的小问题就不报了
5.各种弱口令
6.oa等系统没验证码
即兴测试,求不跨省

版权声明:转载请注明来源 0x0d@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)

漏洞评价:

评论

  1. 2015-04-06 23:46 | 明月影 ( 路人 | Rank:12 漏洞数:8 | 学姿势,学思路。)

    观看。

  2. 2015-04-07 11:37 | 孤独行者 ( 普通白帽子 | Rank:110 漏洞数:44 | 时光如水,总是无言。你若安好,便是晴天)

    发在女娲有钱的。。人家不注册乌云

  3. 2015-04-07 12:59 | 0x0d ( 路人 | Rank:25 漏洞数:4 | >_<'\/)

    @孤独行者 玩玩而已,不指望靠这挣钱

  4. 2015-05-21 10:23 | Stardustsky ( 路人 | Rank:4 漏洞数:3 | ……)

    有注入点直接写shell多好

  5. 2015-05-21 10:24 | xsser_w ( 普通白帽子 | Rank:112 漏洞数:33 | 哎)

    月入百万? 我数学不好…看瞎了SA权限...没啥鸟用..我去...................

  6. 2015-05-22 09:18 | 这只猪 ( 路人 | Rank:5 漏洞数:2 | 南无阿弥陀佛!)

    然而厂商玩消失有个卵用