当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-099523

漏洞标题:携程某管理系统存在缺陷导致大量商家密码泄漏(影响商家资金安全)

相关厂商:携程旅行网

漏洞作者: 黑暗游侠

提交时间:2015-03-05 00:00

修复时间:2015-04-19 00:02

公开时间:2015-04-19 00:02

漏洞类型:网络设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-05: 细节已通知厂商并且等待厂商处理中
2015-03-05: 厂商已经确认,细节仅向厂商公开
2015-03-15: 细节向核心白帽子及相关领域专家公开
2015-03-25: 细节向普通白帽子公开
2015-04-04: 细节向实习白帽子公开
2015-04-19: 细节向公众公开

简要描述:

涉及到携程商家账号,信息泄漏,后台各种权限,以及商家收入金额,银行卡号等等。

详细说明:

问题出现在携程酒店管理系统
页面地址:https://ebooking.ctrip.com/hotel-supplier-ebookinglogin/EbookingLogin.aspx

4.png


可以看到是有验证码限制的,登录错误后验证码也会刷新。
但是,安全是一个整体,细节方面的疏忽导致了一场战役的失败
页面地址:m.ebooking.ctrip.com
WAP版的登陆页面并没有做任何限制
导致可以对商家账号进行fuzzing
以下是抓包数据

POST /Hotel-Supplier-EBookingAPP/Home/Login.aspx HTTP/1.1
Host: m.ebooking.ctrip.com
Proxy-Connection: keep-alive
Content-Length: 78
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://m.ebooking.ctrip.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: http://m.ebooking.ctrip.com/Hotel-Supplier-EBookingAPP/Home/Login.aspx
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Cookie: _abtest_userid=c4af9012-b1d5-48ae-8025-519515c183f9; _ga=GA1.2.2123208696.1423463476; Session=SmartLinkCode=U455496&SmartLinkKeyWord=&SmartLinkQuary=&SmartLinkHost=&SmartLinkLanguage=zh; AX=ffffffff0900113145525d5f4f58455e445a4a423660; ASP.NET_SessionId=x41whx1gkuismbq20opxb4vj; _bfa=1.1423463476329.43a1dn.1.1423463476329.1425467461158.2.11; _bfs=1.10; _bfi=p1%3D233001%26p2%3D800056%26v1%3D9%26v2%3D5
htryw8kwgldr7p9vwn5ael1p1zghw43g=admin&rbv1lo84bhy43sx6ab9gdzlglgz9p4fq=admin


账号密码都为明文,我随便找个用户名字典进行测试下。
burpsuite开始fuzz测试
然后就:

5.png


6.png


可下载各种账单,修改房间信息,价格等等

7.png


8.png


漏洞证明:

问题出现在携程酒店管理系统
页面地址:https://ebooking.ctrip.com/hotel-supplier-ebookinglogin/EbookingLogin.aspx

4.png


可以看到是有验证码限制的,登录错误后验证码也会刷新。
但是,安全是一个整体,细节方面的疏忽导致了一场战役的失败
页面地址:m.ebooking.ctrip.com
WAP版的登陆页面并没有做任何限制
导致可以对商家账号进行fuzzing
以下是抓包数据

POST /Hotel-Supplier-EBookingAPP/Home/Login.aspx HTTP/1.1
Host: m.ebooking.ctrip.com
Proxy-Connection: keep-alive
Content-Length: 78
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://m.ebooking.ctrip.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: http://m.ebooking.ctrip.com/Hotel-Supplier-EBookingAPP/Home/Login.aspx
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Cookie: _abtest_userid=c4af9012-b1d5-48ae-8025-519515c183f9; _ga=GA1.2.2123208696.1423463476; Session=SmartLinkCode=U455496&SmartLinkKeyWord=&SmartLinkQuary=&SmartLinkHost=&SmartLinkLanguage=zh; AX=ffffffff0900113145525d5f4f58455e445a4a423660; ASP.NET_SessionId=x41whx1gkuismbq20opxb4vj; _bfa=1.1423463476329.43a1dn.1.1423463476329.1425467461158.2.11; _bfs=1.10; _bfi=p1%3D233001%26p2%3D800056%26v1%3D9%26v2%3D5
htryw8kwgldr7p9vwn5ael1p1zghw43g=admin&rbv1lo84bhy43sx6ab9gdzlglgz9p4fq=admin


账号密码都为明文,我随便找个用户名字典进行测试下。
burpsuite开始fuzz测试
然后就:

5.png


6.png


可下载各种账单,修改房间信息,价格等等

7.png


8.png


修复方案:

你们更加专业!

版权声明:转载请注明来源 黑暗游侠@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-03-05 00:17

厂商回复:

该漏洞已有白帽子提交到我们的CSRC,目前正在修复中,感谢对携程安全的关注

最新状态:

暂无

漏洞评价:

评论

  1. 2015-03-05 00:02 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

    @携程旅行网 @疯狗 听说携程的全都有$,是嘛

  2. 2015-03-05 00:24 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @黑暗游侠 .... 看回复

  3. 2015-03-05 00:35 | boooooom 认证白帽子 ( 普通白帽子 | Rank:467 漏洞数:50 | 我有一个好想法!)

    骗子

  4. 2015-03-05 10:12 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @黑暗游侠 “该漏洞已有白帽子提交到我们的CSRC,目前正在修复中,感谢对携程安全的关注” 。。。

  5. 2015-03-05 11:28 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    @携程旅行网 @xsser @疯狗 我觉得以后厂商这样回复应该让他们把CSRC提交的地址发来看看 并且让发现同样问题的白帽子能看到CSRC的详情

  6. 2015-03-05 12:37 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

    @疯狗 @xsser @携程旅行网 @子非海绵宝宝 有那么巧合么?我如果提交了你们的src的话我诅咒自己每年都倒霉,真的无语了。

  7. 2015-03-05 12:55 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

    @疯狗 @xsser 在此之间我都不知道有csrc这玩意

  8. 2015-03-05 13:16 | 无心、 ( 实习白帽子 | Rank:71 漏洞数:20 | 你不是风儿,我也不是沙,再怎么缠绵也到不...)

    @黑暗游侠 算啦。可能是巧合呗。

  9. 2015-03-05 13:51 | Ano_Tom ( 普通白帽子 | Rank:368 漏洞数:40 | Talk is cheap.:)

    hehe

  10. 2015-03-05 14:13 | 龍 、 ( 普通白帽子 | Rank:398 漏洞数:135 | 你若安好 我就是晴天)

    该漏洞已有白帽子提交到我们的CSRC,目前正在修复中,感谢对携程安全的关注”

  11. 2015-03-05 17:30 | ′雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    论src的作用,

  12. 2015-03-05 17:46 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @黑暗游侠 嗯,我们相信你!

  13. 2015-03-05 17:49 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

    @疯狗 好的好的!

  14. 2015-03-05 19:06 | 苏州同程旅游网络科技有限公司(乌云厂商)

    来挖我们的吧,我们没有$,都是发的京东礼品卡。目前累计发掉近1w京东礼品卡了,京东的兄弟在哪里?求送漏洞 end5MDg1MTIjbHkuY29t

  15. 2015-03-05 19:26 | ′雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    @苏州同程旅游网络科技有限公司 好感人。。

  16. 2015-03-05 20:07 | f4ckbaidu ( 普通白帽子 | Rank:182 漏洞数:23 | 开发真是日了狗了)

    @苏州同程旅游网络科技有限公司 这么厚道,有空去挖挖

  17. 2015-03-05 22:03 | 机器猫 ( 普通白帽子 | Rank:1141 漏洞数:253 | 爱生活、爱腾讯、爱网络!)

    @苏州同程旅游网络科技有限公司 这么厚道,有空去挖挖

  18. 2015-03-09 13:59 | 携程旅行网(乌云厂商)

    @黑暗游侠 @xsser @疯狗 关于该系统的撞库问题,在2014年11月6号已经有人提交至CSRC,然后由CSRC负责人员提交给开发修复。在2014年1月底携程内部人员又进行了一轮复检,未发现存在撞库问题。下面的图片为CSRC的后台截图。http://dimg02.c-ctrip.com/images/fd/tg/g2/M09/C8/2C/CghzgVT9LumAWj9sAAD_Mr6F2tQ950_R_1024_10000.jpg

  19. 2015-03-09 14:04 | 携程旅行网(乌云厂商)

    @疯狗 @xsser @黑暗游侠 携程安全中心尊重每位白帽子的劳动,所以不管是存在CSRC提交过的,或可以忽略的漏洞,我们都会给予rank分数奖励。黑暗游侠,我们和他联络过,他提交的这个漏洞是他很久以前爆破成功后的截图,他一直留在硬盘里。他提交这个漏洞时,携程已经修复了该漏洞几个月了。在和他联系后,他也确认了,无法复现该漏洞。

  20. 2015-03-09 14:11 | 携程旅行网(乌云厂商)

    @xsser @疯狗 我们携程尊重每一位为企业安全做出努力的白帽子。但,关于我们CSRC已经收录了该漏洞,我觉得我在给予了白帽子奖励后,还是可以提一提的。

  21. 2015-03-09 16:39 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

    @携程旅行网 csrc有重复了你们已经修复了,赞你们一个。

  22. 2015-03-15 00:34 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    @携程旅行网 赞这么负责的态度,不像别的厂商,说提交到src,反馈都没有一个,谁知道是不是真的提交。

  23. 2015-04-06 22:04 | 纳米翡翠 ( 普通白帽子 | Rank:316 漏洞数:42 | 翡翠虽小、价值极高,追求极致、共建安全)

    @苏州同程旅游网络科技有限公司 已提交漏洞,求京东卡:-)

  24. 2015-04-19 09:23 | Mr.R ( 实习白帽子 | Rank:52 漏洞数:14 | 求大神带我飞 qq2584110147)

    @携程旅行网 赞一个 这态度 有良厂商

  25. 2015-04-19 11:08 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    呵呵 楼主知道是几个月前的了,无法复现,还一直怪厂商。

  26. 2015-04-20 11:03 | sql小神 ( 路人 | Rank:19 漏洞数:4 | 有些漏洞可以提,有些漏洞不可以提。)

    @苏州同程旅游网络科技有限公司 我发现了你们公司的刷钱漏洞要不要私聊

  27. 2015-04-20 18:23 | 苏州同程旅游网络科技有限公司(乌云厂商)

    @sql小神 感谢提醒,已修复。只是前台显示绑定了现金券,数据库里DBA查了没有绑定记录的。已申请京东礼品卡答谢 :-D

  28. 2015-04-24 09:24 | sql小神 ( 路人 | Rank:19 漏洞数:4 | 有些漏洞可以提,有些漏洞不可以提。)

    @苏州同程旅游网络科技有限公司 你们给的京东券我已经收到,感谢!!

  29. 2015-04-24 13:46 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

    @sql小神 多少京东券

  30. 2015-04-27 14:33 | sql小神 ( 路人 | Rank:19 漏洞数:4 | 有些漏洞可以提,有些漏洞不可以提。)

    @黑暗游侠 300卷,以后不会再挖同城的了

  31. 2015-04-27 14:34 | sql小神 ( 路人 | Rank:19 漏洞数:4 | 有些漏洞可以提,有些漏洞不可以提。)

    @黑暗游侠 挖携程的吧,多一点

  32. 2015-04-27 17:38 | 苏州同程旅游网络科技有限公司(乌云厂商)

    @sql小神 兄弟,我们跟携程不好比啊,最严重的是发1k,但是也发了近1w了。

  33. 2015-04-27 17:59 | Mr.R ( 实习白帽子 | Rank:52 漏洞数:14 | 求大神带我飞 qq2584110147)

    @苏州同程旅游网络科技有限公司 哈哈 你是想多点漏洞么

  34. 2015-04-27 20:55 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

    @苏州同程旅游网络科技有限公司 既然你们这样,我只能把你们的主站+分站6枚shell祭出来了,6k对吧

  35. 2015-04-27 21:52 | Mr.R ( 实习白帽子 | Rank:52 漏洞数:14 | 求大神带我飞 qq2584110147)

    @苏州同程旅游网络科技有限公司 @黑暗游侠 游侠你这样 。。 厂商是十分乐意的 对吧

  36. 2015-04-28 14:05 | 苏州同程旅游网络科技有限公司(乌云厂商)

    @黑暗游侠 哥,没加上你QQ,我邮箱 sec@ly.com

  37. 2015-04-28 16:16 | sql小神 ( 路人 | Rank:19 漏洞数:4 | 有些漏洞可以提,有些漏洞不可以提。)

    @黑暗游侠 你确定同城给的是6千不是6千卷?

  38. 2015-04-28 16:21 | 苏州同程旅游网络科技有限公司(乌云厂商)

    @sql小神 我们都是给京东券的呀,这样好报销,想买什么也随白帽子自己。是不好和其他大厂商比,但是真的尽力争取了。

  39. 2015-06-11 14:44 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

    @苏州同程旅游网络科技有限公司 携程这个新来的审核员太nb了,加我qq聊着聊着聊到股票,我给他分析了几只股票,然后竟然号突然掉了,显示被封,一查是好友举报,我那个7位qq就他一个好友,so,我简直感到不可思议,会有这种人。

  40. 2015-06-11 15:28 | 携程旅行网(乌云厂商)

    @黑暗游侠 @疯狗 @xsser http://wooyun.org/bugs/wooyun-2015-0119284