从信游科技一封垃圾邮件引发的血案（从此旅游不花钱）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0106121

漏洞标题：从信游科技一封垃圾邮件引发的血案（从此旅游不花钱）

漏洞作者： 0x0d

提交时间：2015-04-06 09:56

修复时间：2015-05-21 09:58

公开时间：2015-05-21 09:58

漏洞类型：命令执行

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-04-06：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-05-21：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

清明节了，人赢们都出去旅游了，作为苦逼的单身狗只有在宿舍敲代码。
刚好一个小伙伴收到了清明节出去双人旅游的垃圾邮件，单身狗们纷纷表示受到了暴击。

详细说明：

打开邮件链接，进入一家旅行社的网站，粗略检测了下，没找到什么大漏洞，还有安全狗看着。本来准备看看旁站，结果看到了一个“全社通旅游系统”的链接，于是点了进去：
http://www.xinyour.net/
貌似全国上百个旅行社在用的样子，想下载个审计下，结果能找到的都是付费的，学生狗表示压力很大：

然后又发现“全社通”是“信游天下”搞的旅游系统，而“信游天下”感觉很厉害的样子：
信游网，中国旅游创富第一网，是中国首家以BMC（供应商-媒介中心-消费者）商业模式串联中国私家车平台、中国机票酒店门票平台、中国旅游线路交易平台，为众多用户提供一个旅行快捷实惠、操作简易规范、奖金丰厚实时的旅行及旅游创业创富网。
http://www.xinyour.com/About-3.html
于是跑了一下xinyour.com的子域名，加上google hack，找到了一个管理平台：
http://manage.xinyour.com/
试了下有万能密码：

不过貌似做了IP限制：

所以先上sqlmap跑了下，sa权限：

web server operating system: Windows Vista
web application technology: ASP.NET 4.0.30319, ASP.NET, Microsoft IIS 7.0
back-end DBMS: Microsoft SQL Server 2005
available databases [49]:
[*] _XinYour.AppStore
[*] _XinYour.Base
[*] _XinYour.ConfigCenter
[*] _XinYour.EHotel
[*] _XinYour.Flight
[*] _XinYour.kt
[*] _XinYour.SMS
[*] _XinYour.Travel
[*] _XinYour.UCenter
[*] _XinYour.WWW
[*] _XinYour.XinPay
[*] Alipay_Trans
[*] aqimdb
[*] BBS
[*] db_fdxh
[*] distribution
[*] drsWeb
[*] EBPP
[*] ecar_bbs
[*] ECarSys
[*] eche_bbs
[*] ECManageSys
[*] eHotel
[*] EPcar
[*] HongShi
[*] JobXinyour
[*] master
[*] MeiHu
[*] MemberC
[*] MenPiaoSys
[*] MenPiaoWeb
[*] model
[*] msdb
[*] newByCar
[*] News
[*] PDMWLH
[*] SceBK
[*] szlxx.com
[*] tempdb
[*] Ticket
[*] uncard
[*] UserCore
[*] weather
[*] wlhdb
[*] XinYour.TravelTest
[*] XueHuaEnroll
[*] xy_test2
[*] XySce
[*] zxySince

Database: _XinYour.UCenter
+-------------------+---------+
| Table             | Entries |
+-------------------+---------+
| dbo.UCenter_Users | 215776  |
+-------------------+---------+

然而只有一个注入点并没有什么卵用，看了看页面源码，有个隐藏的input：

小伙伴表示可能是后台跳转链接，于是把value改成'/'试了试——结果就进了：

月入百万：

20多万个用户：

最后找了个上传，传了小马：
各种备份，不只一个站：

权限挺高，最后反弹了端口连上数据库，账户余额想怎么改就怎么改……

漏洞证明：

shell地址：http://manage.xinyour.com/pictures/WWW/News/201545205546141.aspx

Database: _XinYour.UCenter
+-------------------+---------+
| Table             | Entries |
+-------------------+---------+
| dbo.UCenter_Users | 215776  |
+-------------------+---------+

修复方案：

1.重写后台登录吧
2.很多表里明文密码，不加下密吗？
3.限制上传目录执行权限
4.全社通旅游系统还有些越权的小问题就不报了
5.各种弱口令
6.oa等系统没验证码
即兴测试，求不跨省

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0106121

漏洞标题：从信游科技一封垃圾邮件引发的血案（从此旅游不花钱）

相关厂商：xinyour.com

漏洞作者： 0x0d

提交时间：2015-04-06 09:56

修复时间：2015-05-21 09:58

公开时间：2015-05-21 09:58

漏洞类型：命令执行

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 0x0d@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0106121

漏洞标题：从信游科技一封垃圾邮件引发的血案（从此旅游不花钱）

相关厂商：xinyour.com

漏洞作者： 0x0d

提交时间：2015-04-06 09:56

修复时间：2015-05-21 09:58

公开时间：2015-05-21 09:58

漏洞类型：命令执行

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0106121"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 0x0d@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：