当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0165182

漏洞标题:途牛内网漫游(内网大量数据库权限/大量用户信息/天猫商城、积分商城及主站后台权限)

相关厂商:途牛旅游网

漏洞作者: getshell1993

提交时间:2015-12-27 15:56

修复时间:2016-02-09 23:29

公开时间:2016-02-09 23:29

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-27: 细节已通知厂商并且等待厂商处理中
2015-12-27: 厂商已经确认,细节仅向厂商公开
2016-01-06: 细节向核心白帽子及相关领域专家公开
2016-01-16: 细节向普通白帽子公开
2016-01-26: 细节向实习白帽子公开
2016-02-09: 细节向公众公开

简要描述:

上一次30秒就出来,这次逛了两个多钟,但愿能憋个雷!

详细说明:

入口在邮箱,不过现在限制了员工外网不能登录。
https://mail.tuniu.com/owa/

1.png


但是依然可以通过此处获取员工弱口令,内网用得到。

mask 区域 
*****p;password*****
*****mp;passwor*****
*****mp;passwo*****
*****mp;password*****
*****amp;passw*****
*****mp;passwor*****
*****n&passw*****
*****&passw*****


尝试登录vpn
https://218.94.7.120/prx/000/http/localhost/login
依旧可以访问,无双因素认证。
比较幸运,有一名员工有vpn权限(yanghairui)

2.png

漏洞证明:

zabbix系统弱口令,可shell
luxury.tuniu.org admin/zabbix

luxury.png


http://yj.tuniu.org/service/~iufo/com.ufida.web.action.ActionServlet?RefTargetId=m_strUnitCode&onlyTwo=false&param_orgpk=level_code&retType=unit_code&Operation=Search&action=nc.ui.iufo.web.reference.base.UnitTableRefAction&method=execute
用友系统的SQL注入,简单证明一下,数据就不跑了。
' or 1=1 or ''='和' or 1=2 or ''='返回不一样

yj01.png


yj02.png


mysql弱口令

mask 区域 
*****^^ root    密*****
*****^^ root    密*****
*****^: root    *****
*****: root    ^*****
*****^^: root   *****
*****^号: root*****
*****: root    ^*****
*****^^: root   *****


mysql1.png


太多了 挑其中两个看一下

mysql2.png


其中一个库的user表都有150多万用户信息

mysql3.png


再看另一个 含oa数据库

oa.png


不敢乱翻,没动任何数据。边截图边乌云之。
单点登录,各种系统可乱入。
CMS代码系统
http://cms.tuniu.org
查了下进一年的,代码总量42365663(四百多万行代码!)

cms01.png


全部代码执行记录

cms02.png


服务器监控系统
http://tmp.tuniu.org

tmp.png


内网全部应用详情(应用名称,开放端口,对应ip)

tmp02.png


git 各种代码
http://git.tuniu.org

git.png


wiki 也是个大宝藏
http://wiki.tuniu.org

wiki.png


软件质量管理分析平台
http://echo.tuniu.org

echo.png


venus景点系统
http://venus.tuniu.org

venus.png


数据库查看分析系统(含多个数据库)
http://slow.tuniu.org

slow.png


不敢输入执行 看一下之前的其他员工的操作记录

slow2.png


途牛预算管理系统
http://budget.tuniu.org 安全预算还是挺可观的

budget.png


日志
http://logstash.tuniu.org

logstash.png


途牛天猫后台管理
http://tts.tuniu.org
途牛天猫实时订单信息

tts01.png


可对产品增删改

tts02.png


以及天猫客户详细信息

tts03.png


高权限账号(yanghairui) 途牛总后台
可控制首页大图和广告

admin.png


admin2.png


途牛商城管理

admin3.png


用户兑换记录

admin4.png


用户信息

admin5.png


主站各种活动管理

admin6.png


没动任何数据,只为了证明危害。

修复方案:

vpn双因素赶紧实施吧
内部弱口令定期排查

版权声明:转载请注明来源 getshell1993@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-12-27 16:12

厂商回复:

感谢关注途牛安全!

最新状态:

暂无

漏洞评价:

评价

  1. 2015-12-27 15:58 | 海绵宝宝 ( 普通白帽子 | Rank:353 漏洞数:81 | 唯有梦想与好姑娘不可辜负.)

    mark

  2. 2015-12-27 16:07 | inforsec ( 实习白帽子 | Rank:91 漏洞数:16 | 低调务实求发展)

    什么也没有……

  3. 2015-12-27 16:17 | _Thorns ( 普通白帽子 | Rank:1656 漏洞数:246 | WooYun is the Bigest gay place. 网络工...)

    表哥又来了!!!

  4. 2015-12-27 16:26 | Yuku ( 路人 | Rank:21 漏洞数:19 | 数据挖掘)

    牛逼

  5. 2015-12-27 16:55 | 奶嘴 ( 普通白帽子 | Rank:112 漏洞数:30 | 16岁的毛孩)

  6. 2015-12-27 17:04 | Coody 认证白帽子 ( 核心白帽子 | Rank:1717 漏洞数:204 | 不接单、不黑产;如遇冒名顶替接单收徒、绝...)

    马克

  7. 2015-12-27 17:19 | 荒废的腰子 ( 实习白帽子 | Rank:84 漏洞数:10 | 其实想要的很简单:尊重和修复。)

    你不是有颗雷了嚒?

  8. 2015-12-27 23:19 | 火焰真菌 ( 实习白帽子 | Rank:43 漏洞数:15 | 123)

    上一次30秒就出来,这次逛了两个多钟,我擦,你吃药了。。。。

  9. 2015-12-28 08:37 | luwikes ( 普通白帽子 | Rank:532 漏洞数:79 | 潜心学习~~~)

    第一次30秒没什么,第二次就两个钟,小伙子身体很不错啊