当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0143121

漏洞标题:新型大企酒店哥哥系统多处漏洞导致多家酒店会场企业用户数据泄露(已getshell全站数据已经被人打包)

相关厂商:酒店哥哥

漏洞作者: zhc矜持

提交时间:2015-09-24 11:01

修复时间:2015-11-08 11:02

公开时间:2015-11-08 11:02

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-24: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-11-08: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

百度会场 第一家就是 酒店哥哥。并进行监测。 商家后台 多处漏洞 导致getshell

详细说明:

新型大企酒店哥哥系统多处漏洞导致多家酒店会场企业用户数据泄露(已getshell全站数据已打包下载)

漏洞证明:

http://v.hotelgg.com/hotel/ 酒店后台登陆后 FCK上传漏洞 可直接getshell linux 权限还算很高的
http://enterprise.hotelgg.com/admin(管理密码见下图)

Q5.png


q6.png


全站已打包下载 共享地址:

QQ图片20150923181516.png


q2.png


q3.png


q4.png


有人联系了一下 他们还没有给出回应 却修复了一处上传 但是还有多处系统漏洞 全站已打包下载 但是然而并没有什么卵用

q7.png


全站30多打包 备用下载地址:http://182.92.239.118/123.tar.gz
酒店哥哥(可能是汤总):189-1896-9580

修复方案:

这么大的企业 别不声不响的 就修复了

版权声明:转载请注明来源 zhc矜持@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)