漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0141783
漏洞标题:华住酒店集团某关键配置错误导致大量内部账号破解
相关厂商:汉庭酒店
漏洞作者: feng
提交时间:2015-09-17 17:04
修复时间:2015-11-02 09:36
公开时间:2015-11-02 09:36
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-09-17: 细节已通知厂商并且等待厂商处理中
2015-09-18: 厂商已经确认,细节仅向厂商公开
2015-09-28: 细节向核心白帽子及相关领域专家公开
2015-10-08: 细节向普通白帽子公开
2015-10-18: 细节向实习白帽子公开
2015-11-02: 细节向公众公开
简要描述:
哎 还是那句话,最近严重缺wb啊
详细说明:
问题简介:
华住酒店的mail系统防爆破机制缺陷,导致可以绕过防爆破机制进行爆破,得到大量内部账户,泄漏了海量的内部信息,继续挖掘的话没准能够内网漫游哦。不过我只是缺wb而已,如果授权可以继续搞搞。
1、先看一下邮箱系统,
我们都知道outlook是可以爆破的,一看这个界面加了验证码,顿时觉得高大上了。但是作为一个安全测试人员,还是要想办法看看这个机制是否健壮不是。
2、于是乎,右键-》查看源代码,发现其对应的js代码如下:
关键代码提出来:
我们看到,其验证码的内容是在cookie里面的yzmCode字段的,burp抓包也可以看到
HTTP/1.1 200 OK
Cache-Control: no-cache
Pragma: no-cache
Content-Type: image/Png
Expires: -1
X-OWA-Version: 14.3.210.2
Set-Cookie: yzmCode=9aAKTN; expires=Thu, 17-Sep-2015 07:29:18 GMT; path=/; secure
X-Powered-By: ASP.NET
Date: Thu, 17 Sep 2015 07:09:18 GMT
Content-Length: 1289
哎哟 不错哦,那么思路来了,直接写个脚本抓取返回的cookie中yzmCode字段,然后再提交不就直接绕过验证码了吗。
没错,不过看官你想多了,我们进行下一步的时候,发现客户端并没有提交验证码相关的字段,数据如下:
destination=https%3A%2F%2Fmail.huazhu.com%2Fowa%2F&flags=0&forcedownlevel=0&trusted=0&username=admin&password=fjdsl&isUtf8=1
纳尼,原来验证码只是在前端骗人的
3、好了,直接上burp intruder吧,配置好字典就开跑
漏洞证明:
1、看看弱口令有多少吧,只列出一部分来
2、由于我们说了不去分析内网信息,但是为了证明危害,我还是找到了一个比较特别的账号
那就是apple store的注册账号,有了它我们应该可以更改华住的app stroe上的app了
ps 我把appstore的邮箱密码修改为了huazhu@123
修复方案:
这个,能多给点rank吗 就缺wb啊
版权声明:转载请注明来源 feng@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:8
确认时间:2015-09-18 09:34
厂商回复:
已转交相关团队跟进,谢谢!
最新状态:
暂无