当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0115909

漏洞标题:携程旅游网服务器配置不当可直接导致官方邮件劫持(邮件伪造与防识别原理)

相关厂商:携程旅行网

漏洞作者: 黑暗游侠

提交时间:2015-05-25 13:19

修复时间:2015-05-25 15:30

公开时间:2015-05-25 15:30

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-25: 细节已通知厂商并且等待厂商处理中
2015-05-25: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

以为快乐会永久 像不变星空 陪著我

详细说明:

之前提交了 http://wooyun.org/bugs/wooyun-2015-0114708
(标题:一种可大规模定向钓鱼携程旅游网千万用户的攻击过程重放(附案例,非携程用户依然躺枪)
这个比较鸡肋,因为还需要高深的html技术去构造,并且后面的表单并不能去掉,只能在一块区域自定义内容
那么so,附上直接版的吧,大招。
携程有两个域名
ctrip.com 和 c-ctrip.com

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> -t ctrip.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16330
;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 13
;; QUESTION SECTION:
;.				IN	NS
;; ANSWER SECTION:
.			250997	IN	NS	c.root-servers.net.
.			250997	IN	NS	a.root-servers.net.
.			250997	IN	NS	h.root-servers.net.
.			250997	IN	NS	b.root-servers.net.
.			250997	IN	NS	f.root-servers.net.
.			250997	IN	NS	l.root-servers.net.
.			250997	IN	NS	j.root-servers.net.
.			250997	IN	NS	d.root-servers.net.
.			250997	IN	NS	g.root-servers.net.
.			250997	IN	NS	i.root-servers.net.
.			250997	IN	NS	m.root-servers.net.
.			250997	IN	NS	e.root-servers.net.
.			250997	IN	NS	k.root-servers.net.
;; ADDITIONAL SECTION:
c.root-servers.net.	581623	IN	A	192.33.4.12
c.root-servers.net.	581625	IN	AAAA	2001:500:2::c
a.root-servers.net.	580364	IN	A	198.41.0.4
a.root-servers.net.	581623	IN	AAAA	2001:503:ba3e::2:30
h.root-servers.net.	581623	IN	A	128.63.2.53
h.root-servers.net.	581623	IN	AAAA	2001:500:1::803f:235
b.root-servers.net.	581624	IN	A	192.228.79.201
b.root-servers.net.	581626	IN	AAAA	2001:500:84::b
f.root-servers.net.	581623	IN	A	192.5.5.241
f.root-servers.net.	581623	IN	AAAA	2001:500:2f::f
l.root-servers.net.	581623	IN	A	199.7.83.42
l.root-servers.net.	581623	IN	AAAA	2001:500:3::42
j.root-servers.net.	581624	IN	A	192.58.128.30
;; Query time: 5 msec
;; SERVER: 211.137.130.3#53(211.137.130.3)
;; WHEN: Sun May 24 04:26:52 2015
;; MSG SIZE  rcvd: 508


; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> -t c-ctrip.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52168
;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 13
;; QUESTION SECTION:
;.				IN	NS
;; ANSWER SECTION:
.			251076	IN	NS	c.root-servers.net.
.			251076	IN	NS	a.root-servers.net.
.			251076	IN	NS	h.root-servers.net.
.			251076	IN	NS	b.root-servers.net.
.			251076	IN	NS	f.root-servers.net.
.			251076	IN	NS	l.root-servers.net.
.			251076	IN	NS	j.root-servers.net.
.			251076	IN	NS	d.root-servers.net.
.			251076	IN	NS	g.root-servers.net.
.			251076	IN	NS	i.root-servers.net.
.			251076	IN	NS	m.root-servers.net.
.			251076	IN	NS	e.root-servers.net.
.			251076	IN	NS	k.root-servers.net.
;; ADDITIONAL SECTION:
c.root-servers.net.	581702	IN	A	192.33.4.12
c.root-servers.net.	581704	IN	AAAA	2001:500:2::c
a.root-servers.net.	580443	IN	A	198.41.0.4
a.root-servers.net.	581702	IN	AAAA	2001:503:ba3e::2:30
h.root-servers.net.	581702	IN	A	128.63.2.53
h.root-servers.net.	581702	IN	AAAA	2001:500:1::803f:235
b.root-servers.net.	581703	IN	A	192.228.79.201
b.root-servers.net.	581705	IN	AAAA	2001:500:84::b
f.root-servers.net.	581702	IN	A	192.5.5.241
f.root-servers.net.	581702	IN	AAAA	2001:500:2f::f
l.root-servers.net.	581702	IN	A	199.7.83.42
l.root-servers.net.	581702	IN	AAAA	2001:500:3::42
j.root-servers.net.	581703	IN	A	192.58.128.30
;; Query time: 4 msec
;; SERVER: 211.137.130.3#53(211.137.130.3)
;; WHEN: Sun May 24 04:25:32 2015
;; MSG SIZE  rcvd: 508


其中
ctrip的mx和txt记录:

;; QUESTION SECTION:
;ctrip.com.			IN	MX
;; ANSWER SECTION:
ctrip.com.		777	IN	MX	20 mx2.ctrip.com.
ctrip.com.		777	IN	MX	10 mx.ctrip.com.


ctrip.com.		900	IN	TXT	"0RhgfGwGA1HoaS1HmgmNzd+tKZb46AxM4nqm73bTsj9/3MIn0pmyIbZasbdvgvrrXYGtnr6K+wHvPhQ0QysxoQ=="
ctrip.com.		900	IN	TXT	"v=spf1 include:spf.ctrip.com ~all"
ctrip.com.		900	IN	TXT	"v=spf2.0/pra include:spf.ctrip.com ~all"
ctrip.com.		900	IN	TXT	"MS=ms62746735"


c-ctrip.com的mx和txt记录:

;; QUESTION SECTION:
;c-ctrip.com.			IN	MX
;; ANSWER SECTION:
c-ctrip.com.		900	IN	MX	20 mx1.c-ctrip.com.
c-ctrip.com.		900	IN	MX	10 mx2.c-ctrip.com.


Address:  211.137.130.3
c-ctrip.com
        primary name server = ns5.ctrip.com
        responsible mail addr = hostmaster.ctrip.com
        serial  = 2015051301
        refresh = 7200 (2 hours)
        retry   = 3600 (1 hour)
        expire  = 604800 (7 days)
        default TTL = 3600 (1 hour)


diff 一下
ctrip.com域下作了spf
但是
c-ctrip.com域下并没有DNS记录txt类型的spf记录登记邮件服务器IP
看证明:

漏洞证明:

伪造csrc@c-ctrip.com
搭建一个邮局服务器
添加域名c-ctrip.com
添加用户csrc
自定义邮件发给自己(茫茫用户中的小小一个)

12.png


(亲,携程邀请你去看5月28号的多啦A梦:伴我同行)

修复方案:

给个参考链接 http://www.openspf.org/SPF_Record_Syntax

版权声明:转载请注明来源 黑暗游侠@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-05-25 15:30

厂商回复:

感谢您对携程的关注。

漏洞Rank:5 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2015-05-25 16:29 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

    携程领导毕竟牛逼

  2. 2015-05-28 15:59 | Topman王 ( 实习白帽子 | Rank:31 漏洞数:6 | 软件开发工程师!白帽子!XSSER,渗透,SEO)

    携程不认真对待白帽子的后果。。。今天全被X机了。。。

  3. 2015-05-28 16:13 | by_奇奇 ( 实习白帽子 | Rank:35 漏洞数:7 | 2)

    携程领导毕竟吊

  4. 2015-05-28 16:21 | popok ( 普通白帽子 | Rank:117 漏洞数:24 | nothing)

    围观一下

  5. 2015-05-28 16:24 | backda0 ( 路人 | Rank:4 漏洞数:6 | none)

    携程老板是不是为了纪念股市跳水?

  6. 2015-05-28 16:24 | 姗姗来迟 ( 普通白帽子 | Rank:297 漏洞数:72 | coffeesafe的小号)

    前排留名,火了~~我要上央视!

  7. 2015-05-28 16:24 | xiaogui ( 实习白帽子 | Rank:88 漏洞数:24 | 围观大牛来了~~~)

    回过头来再看看这个洞,貌似错过了什么

  8. 2015-05-28 16:25 | 027—呔妖怪 ( 路人 | Rank:0 漏洞数:1 | ~)

    (亲,携程邀请你去看5月28号的多啦A梦:伴我同行)

  9. 2015-05-28 16:30 | 我才不叫小耗子 ( 路人 | Rank:0 漏洞数:1 )

    啦啦啦~留个名

  10. 2015-05-28 16:34 | 我才不叫小耗子 ( 路人 | Rank:0 漏洞数:1 )

    问世间情为何物,只叫人生死相许

  11. 2015-05-28 16:35 | 姗姗来迟 ( 普通白帽子 | Rank:297 漏洞数:72 | coffeesafe的小号)

    携程事件,个人初步怀疑不是路人甲干的,就是带头大哥干的。这两人太坏了!这两人太坏了。。应该抓起来。

  12. 2015-05-28 16:37 | Balalaika. ( 路人 | Rank:0 漏洞数:1 | noob)

    目测白帽子又要上头条了

  13. 2015-05-28 16:41 | Taro ( 普通白帽子 | Rank:178 漏洞数:48 | 走向最远的方向,哪怕前路迷茫;抱着最大的...)

    路人甲和带头大哥表示负责

  14. 2015-05-28 16:44 | 大灰狼 ( 路人 | Rank:6 漏洞数:2 | 额、、)

    前排留名。。

  15. 2015-05-28 16:55 | T工匠 ( 路人 | Rank:0 漏洞数:1 | 就是个楞头!)

    头条了 哈哈前排广告位出租!Cav看这里喔。

  16. 2015-05-28 16:57 | 二少 ( 路人 | 还没有发布任何漏洞 | xxxxx)

    @黑暗游侠 洞主在携程刷了不少了吧?连撞库都给予了¥¥¥奖励,突然一个“漏洞”没有给予奖励,是不是心理有点失衡?

  17. 2015-05-28 17:05 | Sword ( 路人 | Rank:16 漏洞数:11 | 求大牛带飞)

    前排留名 !!!

  18. 2015-05-28 17:06 | B1acken ( 普通白帽子 | Rank:174 漏洞数:56 | 渣渣)

    17楼关注

  19. 2015-05-28 17:18 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

    @二少 完全木有失衡

  20. 2015-05-28 17:27 | LauRen ( 路人 | Rank:4 漏洞数:1 | 苦逼屌丝一枚。)

    我知道记者要来这里,记者看我看我

  21. 2015-05-28 17:28 | 你大爷在此 百无禁忌 ( 路人 | Rank:10 漏洞数:6 | Hello 各位小伙伴们 大家好 我是王尼玛)

    明明是他们自己技术员修复漏洞手贱了 好么

  22. 2015-05-28 18:02 | 孔卡 ( 实习白帽子 | Rank:42 漏洞数:12 | 我已经过了那个餐桌上只有一条鸡腿就一定能...)

    携程说因外部攻击,无法访问了,所以,请大家访问阿里.去啊;但是表忘了,阿里见过大世面啊,双11怎么抗下来的?“心机”了一下,转变策略,官网放话叫大家访问艺龙,艺龙什么结果大家都看到了~~~~我只想知道,接下来我们是不是该临时访问途牛了?

  23. 2015-05-28 18:05 | milan ( 普通白帽子 | Rank:129 漏洞数:32 | 妈妈说:搬不完砖就别回家。)

    瓜子 啤酒 花生 矿泉水啦

  24. 2015-05-28 18:07 | llkoio ( 路人 | Rank:20 漏洞数:3 | 热爱网络安全!)

    留名,万一火了上电视了能拍到我的留言呢!

  25. 2015-05-28 18:12 | Ki11 ( 路人 | Rank:26 漏洞数:5 | ส็็็็็็็็็็็็็็็็็็็...)

    ccav看这里!! 妈妈我上电视了!!!!!

  26. 2015-05-28 18:23 | Echo ( 路人 | Rank:4 漏洞数:1 | ฏ๎๎๎๎๎๎๎๎๎ฏด้้้้้็็็...)

    前排占座!!!

  27. 2015-05-28 18:25 | 盛大网络(乌云厂商)

    110看这里

  28. 2015-05-28 18:32 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

    请不要回复了,都是小事情

  29. 2015-05-28 18:51 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @黑暗游侠 嗯跟这个漏洞有啥关系,这些媒体。。。

  30. 2015-05-28 18:53 | milan ( 普通白帽子 | Rank:129 漏洞数:32 | 妈妈说:搬不完砖就别回家。)

    @疯狗 乌云官方微博上 提的这个漏洞

  31. 2015-05-28 18:56 | Pooke ( 路人 | Rank:0 漏洞数:1 | 菜鸟团撸过。)

    最后一句话。。。。5.28

  32. 2015-05-28 19:03 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

    @疯狗 诶

  33. 2015-05-28 19:04 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

    @疯狗 关键还没rank

  34. 2015-05-28 19:04 | Mr.R ( 实习白帽子 | Rank:52 漏洞数:14 | 求大神带我飞 qq2584110147)

    携程。 我们来悼念你了

  35. 2015-05-28 19:12 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @黑暗游侠 给了些分析分。这个漏洞其实影响一般,但SPF这个细节值得鼓励。

  36. 2015-05-28 19:26 | Corpse ( 路人 | Rank:10 漏洞数:5 | 我只是个酱油~~~)

    携程走好~

  37. 2015-05-28 20:09 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

    @疯狗 影响其实是挺大的,看我上一个攻击过程重放,不完美的钓鱼,已经有支付宝资金转账案例,直接版的这个则可以绕过携程的一切服务端防御规则、邮件自定义,因为是完全由攻击者控制的。

  38. 2015-05-28 20:14 | 大师哥 ( 路人 | Rank:4 漏洞数:2 | I am the government)

    看这里 看这里

  39. 2015-05-28 20:32 | 不会游泳的鱼 ( 普通白帽子 | Rank:112 漏洞数:35 | 非著名白帽子)

    ccav,看这里

  40. 2015-05-28 20:46 | login ( 路人 | Rank:2 漏洞数:1 | 一个感情和生活的记录者)

    @黑暗游侠 膜拜你

  41. 2015-05-28 21:09 | 山鹰 ( 路人 | Rank:2 漏洞数:1 | 拒绝搞基,啊哈)

    留名。cctv拍我

  42. 2015-05-28 21:11 | Broken ( 路人 | Rank:3 漏洞数:1 | 万丈红尘三杯酒,千秋大业一壶茶。)

    这个页面肯定会火!

  43. 2015-05-28 21:16 | 洗剪吹 ( 路人 | Rank:1 漏洞数:1 | 出门在外,安全第一!)

    不留名也不行啊。。 验证码是 86JB

  44. 2015-05-28 21:49 | 4399gdww ( 路人 | Rank:20 漏洞数:4 | )

    不留名也不行啊。。 验证码是 95VA

  45. 2015-05-28 21:49 | 煎饼侠 ( 路人 | Rank:4 漏洞数:1 | 请叫我红领巾)

    目测,内部程序员手贱修复了,导致误操作。

  46. 2015-05-28 22:00 | 我不是小黑 ( 路人 | Rank:2 漏洞数:1 | 我真不是小黑)

    出租广告位

  47. 2015-05-28 22:27 | Mayter ( 实习白帽子 | Rank:36 漏洞数:10 | 没事瞎搞。)

    cctv拍这里。。我要上电视了。感谢我的家人,感谢cctv。感谢祖国。感谢中华人民共和国让我有一次露脸的机会。。

  48. 2015-05-28 23:16 | chord ( 路人 | Rank:9 漏洞数:3 | 纯属路过的)

    拍这里..我才是路过的

  49. 2015-05-29 08:37 | tony ( 路人 | Rank:4 漏洞数:1 | null)

    mark

  50. 2015-05-29 09:30 | 啤酒 ( 实习白帽子 | Rank:62 漏洞数:8 | 道不同.喝酒结盟)

    携程在手,说gou就gou

  51. 2015-05-29 14:33 | 0749orz ( 路人 | Rank:3 漏洞数:4 | 厌了,烦了~~~)

    哈哈~~

  52. 2015-05-29 14:38 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

    @苏州同程旅游网络科技有限公司 顺便提醒下你们的17u.com,和此漏洞问题一样,不提交了

  53. 2015-05-29 15:55 | fuzzzz ( 路人 | Rank:4 漏洞数:1 | Into a soul absolutely free.)

    v587

  54. 2015-07-03 15:06 | hack0ne ( 路人 | Rank:3 漏洞数:2 | keep going)

    66666666666