当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-099287

漏洞标题:通用型酒店系统存在高危越权和DBA权限SQL注入漏洞

相关厂商:广州市问途信息技术有限公司

漏洞作者: 路人甲

提交时间:2015-03-05 16:35

修复时间:2015-06-08 14:18

公开时间:2015-06-08 14:18

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-05: 细节已通知厂商并且等待厂商处理中
2015-03-10: 厂商已经确认,细节仅向厂商公开
2015-03-13: 细节向第三方安全合作伙伴开放
2015-05-04: 细节向核心白帽子及相关领域专家公开
2015-05-14: 细节向普通白帽子公开
2015-05-24: 细节向实习白帽子公开
2015-06-08: 细节向公众公开

简要描述:

越权和SQL注入漏洞,影响国内近200酒店业务

详细说明:

危害参见: WooYun: 一个漏洞沦陷至少全国各地170家酒店及酒店集团(可查开房信息,国庆你还开房吗)
1. 首先介绍下公司
名称: 广州市问途信息技术有限公司
网址:http://www.wintour.cn/
介绍:中国酒店业最为专业的网络营销技术公司,运用互联网技术提升酒店收益,为酒店打造网络直销及客户服务平台以及酒店网络营销服务。包括酒店官方网站,多渠道预订引擎,客户会员营销管理系统,智能手机客户端和社会性媒体营销管理系统等。
keywords:酒店网络营销,酒店网站,酒店网站建设,酒店在线直销,酒店移动互联网营销,智能手机客户端,收益管理系统,预订引擎,微博营销,酒店会员管理,酒店,酒店网站开发,移动营销常客计划
2. 客户群
官网有一些最新的客户案例,如图

a.png


当然这只是一部分,根据官网的案例,得到关键字:技术伙伴:问途酒店网络营销顾问 html, 因为该公司之前好像有做过一套aspx的系统,新系统是php + mysql的,所以加上了个html,下面是搜索结果:

b.png


结果不少,这里列举一些例子,证明其通用性:

河南天地粤海酒店	http://www.skyland-hotel.com/
博鳌和悦海景度假酒店 http://www.holliyardhotel.com/
青岛CHINA公社 http://www.chinagongshe.com/
河源市龙源温泉大酒店有限公司 http://www.lyhotspring.com/
成都天府阳光 http://www.tfsunshinehotel.com/
英德仙湖温泉度假区 http://www.singwood.com.cn/
上海御庭集团 http://www.rhgresorts.com/
首旅酒店集团 http://www.btghotels.com/
首旅建国酒店管理有限公司 http://www.hotelsjianguo.com/
成都钓鱼台精品酒店 http://www.dytchengdu.com/
君廷国际酒店集团 http://www.baronyhotels.com/
广东欧亚企业管理集团有限公司 http://www.ouyahotels.com/
湖南湘投阳光集团有限公司 http://www.hnsunshinegroup.com/
厦门建发旅游集团股份有限公司 http://cndhotels.com/
粤海集团 http://www.gdhhotels.com/
通程国际酒店管理有限责任公司 http://www.dolton-hotels.com/
奥园养生酒店 http://www.aoyuanhealthhotel.com/
凯荣都国际酒店 http://www.krdhotel.com/
上海久阳滨江酒店 www.eversunshinehotel.com/
昆泰嘉华酒店 http://www.kuntairoyalhotel.com/
广州远洋宾馆 http://www.oceanhotel.com.cn/
广东东方国际饭店 http://www.mandarinhotelgd.com/get_password.html
青海兴鼎安大酒店 http://www.xingdingan.com/get_password.html
三亚柏瑞精品海景酒店 http://www.sanyabarry.com/get_password.html
南沙奥园养生酒店 http://www.aoyuanhealthhotel.net/special_offer_3.html
广州鸣泉居度假村 http://www.mqjgz.cn/get_password.html
昆山新港湾大酒店 http://www.ksnewporthotel.com/get_password.html
广东东方国际饭店 http://mandarin-hotel.com.cn/get_password.html
北京应物会议中心 http://hy.yingwu.com.cn/get_password.html
北大荒国际饭店 http://www.ebdh-hotel.com/get_password.html
三亚中亚国际大酒店 http://www.joyahotel.com.cn/get_password.html
常州九洲环宇 http://www.eco-hotel.com.cn/get_password.html
广州逸林假日酒店 http://www.easelandhotel.com/get_password.html
广东亚洲国际大酒店 http://www.aihotel.com/get_password.html
桂林桂山华星酒店 http://www.guishanhotel.com/get_password.html
嘉鸿华美达 http://www.ramadaplazagz.com/get_password.html
深圳求水山酒店 http://www.qsshotel.com/get_password.html
最佳西方武汉五月花大酒店 http://www.bwmayflowers.com.cn/get_password.html
常州福记逸高酒店 http://www.happiness-hotel.com/
苏州市冠云大酒店 http://www.glamorhotel.com/get_password.html
三亚宝宏大酒店 http://www.baohonghotel.com/get_password.html
五指山亚泰雨林度假酒店 http://www.wuzhishanyatai.com/get_password.html
广州威尼國际酒店 http://www.vilihotel.com/get_password.html
四会岭南东方酒店 http://www.lndfhotel-sh.com/get_password.html
海南亚泰温泉酒店 http://www.hainanyataihotel.com/get_password.html
佛山铂顿国际公寓 http://www.jbstel.com/get_password.html
青城(豪生)国际酒店 http://www.87198677.com/get_password.html
三亚湾玛格瑞特酒店 http://www.margaretresort.com/get_password.html
江苏省南通市文峰饭店 http://www.wenfenghotel.com/get_password.html
福州永泰香米拉温泉酒店 http://www.ytxml.com/get_password.html
华北电力大厦 http://www.hbdlds.com/get_password.html
北京四川五粮液龙爪树宾馆 http://www.lzshotel.com/get_password.html
广东裕通大酒店有限公司 http://www.gdyutonghotel.com/get_password.html
金燕国际温泉酒店 http://www.jinyanhotspring.com/login.html
山东良友富临大酒店 http://www.sdlyfl.com/get_password.html
红星剧院 http://www.xn--cerp49b31r6wv.com/member_forget.html


漏洞证明:

一、SQL注入漏洞:
1.http://www.skyland-hotel.com/ 先注册账户,然后预定一个房间
取消订单处抓包

s.jpg


sqlmap:

s1.jpg


查看敏感信息

s.jpg


2.http://www.holliyardhotel.com/ 取消订单处抓包如下:
client_account存在注入

GET /saas/Booking/cancelOrder/?jsoncallback=jQuery183014082620618864894_1425371096398&client_account=qh_hyhj&language=zh-cn&order_id=2225&_=1425371187541 HTTP/1.1
Host: www.holliyardhotel.com
Proxy-Connection: keep-alive
Accept: text/javascript, application/javascript, application/ecmascript, application/x-ecmascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.94 Safari/537.36
Referer: http://www.holliyardhotel.com/room_reservation.html?start_date=1425312000000&end_date=1425398400000&res_total=1
Accept-Encoding: gzip, deflate, sdch
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie: PHPSESSID=rlcitg4pa3rlof58mrl51l3m24; _gat=1; think_language=zh-cn; _ga=GA1.2.994985118.1425371021; checkCookie=check


s.jpg


3.http://www.chinagongshe.com/
同上,也是client_account存在注入

ss.jpg


4.http://www.tfsunshinehotel.com/
同上,也是client_account存在注入

sss.png


... ...
注入通用型证明上述4例
二、越权删除和查看别人订单:
http://www.chinagongshe.com/为例,注册两个号王某和李某
http://www.chinagongshe.com/order_info.html?order_no=00010459 订单号遍历可看别人的信息

11111.jpg


越权的删除订单
王某和李某都有一个订单

y.jpg


y1.jpg


用王某的账户删除订单抓包,修改466为464

y2.jpg


成功删除李某订单

y3.jpg


其它的危害:邮件和短信炸弹

z.jpg

修复方案:

过滤注入点
越权处session验证

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2015-03-10 14:16

厂商回复:

CNVD确认并复现所述情况,目前还在尝试建立与软件生产厂商的直接处置渠道,待进一步完成处置流程。

最新状态:

暂无


漏洞评价:

评论