漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0132884
漏洞标题:对于途家网的渗透测试(大量客户订单/数万商户信息/30+个后台/内网漫游)
相关厂商:途家
漏洞作者: hecate
提交时间:2015-08-09 17:42
修复时间:2015-09-27 17:50
公开时间:2015-09-27 17:50
漏洞类型:账户体系控制不严
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-08-09: 细节已通知厂商并且等待厂商处理中
2015-08-13: 厂商已经确认,细节仅向厂商公开
2015-08-23: 细节向核心白帽子及相关领域专家公开
2015-09-02: 细节向普通白帽子公开
2015-09-12: 细节向实习白帽子公开
2015-09-27: 细节向公众公开
简要描述:
途家网(Tujia.com)在新一轮融资中筹得3亿美元,这家中国度假公寓租赁网站的估值由此超过10亿美元。中国版Airbnb欲雄霸天下……
详细说明:
安全是一个长期的过程,大公司常年不登乌云,必定存在众多安全问题.
1.针对tujia.com的子域名进行fuzzing,发现其中一个地址存在SQL注入
https://ssl.tujia.com//WebPages/applyhardware.php?action=applyhardware&hard_user=%255C&hard_pass=%0a%0dand%0a%0d1=(updatexml(1,concat(0x5e24,(select%0a%0dconcat(adminname,0x7e,passwd)%0a%0dfrom%0a%0dAdmin%0a%0dlimit%0a%0d1),0x5e24),1))%2523
无奈登录不上,无法通过域验证,但是可以借此收集到邮箱用户名如图
2.找到邮箱登录入口https://mail.tujia.com/,用收集到的邮箱账号和弱口令字典进行fuzzing,过程中无验证码,无错误次数限制,最终成功只有一个
账号wenhuc@tujia.com
密码tujia@123
3.进入邮箱后收集所有联系人的账号,再一次进行fuzzing,得到以下几位高管的邮箱密码
huili_7@tujia.com
yanluan@tujia.com
shidongq@tujia.com
jingwu_1@tujia.com
zhongxiangz@tujia.com
密码均是 Www.tujia.com 第一个W是大写
4.登录高管邮箱,搜寻各种后台账号密码
http://vrms.tujia.com/
用户名 栾艳,密码同上
可查所有订单
公司内部系统
员工论坛
企业办公交流系统
集采平台
招聘管理系统
去哪儿网后台用户名:qunarppb_******763
密码:tujia@123
OA系统在携程,用户名: huili_7,密码: 1D884840
空空如也,看来携程的数据还没恢复完全啊
……此处省略其他10个后台……
5.拨入VPN,进入内网
地址https://110.173.1.214
用户名和密码同邮箱
大公司就是有钱买windows
dashboard
内部测试系统大集合
内网测试后台
……此处省略其他9个测试后台……
漏洞证明:
对内网3389进行fuzzing时,突然打雷闪电,狂风大作,好一场秋雨
进而夜观天象,今日不宜fuzzing,到此为止
修复方案:
公司做大了,有钱了,也要注意做好安全,当你们上市的时候请不要忘记乌云无私奉献的白帽子
版权声明:转载请注明来源 hecate@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2015-08-13 17:49
厂商回复:
谢谢提醒
最新状态:
暂无