当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0132884

漏洞标题:对于途家网的渗透测试(大量客户订单/数万商户信息/30+个后台/内网漫游)

相关厂商:途家

漏洞作者: hecate

提交时间:2015-08-09 17:42

修复时间:2015-09-27 17:50

公开时间:2015-09-27 17:50

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-09: 细节已通知厂商并且等待厂商处理中
2015-08-13: 厂商已经确认,细节仅向厂商公开
2015-08-23: 细节向核心白帽子及相关领域专家公开
2015-09-02: 细节向普通白帽子公开
2015-09-12: 细节向实习白帽子公开
2015-09-27: 细节向公众公开

简要描述:

途家网(Tujia.com)在新一轮融资中筹得3亿美元,这家中国度假公寓租赁网站的估值由此超过10亿美元。中国版Airbnb欲雄霸天下……

详细说明:

安全是一个长期的过程,大公司常年不登乌云,必定存在众多安全问题.
1.针对tujia.com的子域名进行fuzzing,发现其中一个地址存在SQL注入
https://ssl.tujia.com//WebPages/applyhardware.php?action=applyhardware&hard_user=%255C&hard_pass=%0a%0dand%0a%0d1=(updatexml(1,concat(0x5e24,(select%0a%0dconcat(adminname,0x7e,passwd)%0a%0dfrom%0a%0dAdmin%0a%0dlimit%0a%0d1),0x5e24),1))%2523

1.jpg


无奈登录不上,无法通过域验证,但是可以借此收集到邮箱用户名如图

图像 3.jpg


图像 4_副本.jpg


2.找到邮箱登录入口https://mail.tujia.com/,用收集到的邮箱账号和弱口令字典进行fuzzing,过程中无验证码,无错误次数限制,最终成功只有一个
账号wenhuc@tujia.com
密码tujia@123

图像 5_副本.jpg


3.进入邮箱后收集所有联系人的账号,再一次进行fuzzing,得到以下几位高管的邮箱密码
huili_7@tujia.com
yanluan@tujia.com
shidongq@tujia.com
jingwu_1@tujia.com
zhongxiangz@tujia.com
密码均是 Www.tujia.com 第一个W是大写
4.登录高管邮箱,搜寻各种后台账号密码
http://vrms.tujia.com/
用户名 栾艳,密码同上

图像 6.jpg


可查所有订单

图像 9.jpg


公司内部系统

图像 10.jpg


员工论坛

图像 11.jpg


企业办公交流系统

图像 12.jpg


集采平台

图像 13.jpg


招聘管理系统

图像 14.jpg


去哪儿网后台用户名:qunarppb_******763
密码:tujia@123

图像 15.jpg


OA系统在携程,用户名: huili_7,密码: 1D884840

图像 16.jpg


空空如也,看来携程的数据还没恢复完全啊
……此处省略其他10个后台……
5.拨入VPN,进入内网
地址https://110.173.1.214
用户名和密码同邮箱

图像 17.jpg


图像 18.jpg


大公司就是有钱买windows
dashboard

图像 19.jpg


内部测试系统大集合

图像 20.jpg


图像 21.jpg


内网测试后台

图像 23.jpg


……此处省略其他9个测试后台……

漏洞证明:

对内网3389进行fuzzing时,突然打雷闪电,狂风大作,好一场秋雨
进而夜观天象,今日不宜fuzzing,到此为止

修复方案:

公司做大了,有钱了,也要注意做好安全,当你们上市的时候请不要忘记乌云无私奉献的白帽子

版权声明:转载请注明来源 hecate@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-08-13 17:49

厂商回复:

谢谢提醒

最新状态:

暂无