当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0150987

漏洞标题:艺龙旅行网内网漫游可查全国开房记录(可查实时手机验证码\任意密码重置\可获得主站源代码\订单数据库配置等)

相关厂商:艺龙旅行网

漏洞作者: 鸟云厂商

提交时间:2015-11-01 08:01

修复时间:2015-12-19 10:18

公开时间:2015-12-19 10:18

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-11-01: 细节已通知厂商并且等待厂商处理中
2015-11-04: 厂商已经确认,细节仅向厂商公开
2015-11-14: 细节向核心白帽子及相关领域专家公开
2015-11-24: 细节向普通白帽子公开
2015-12-04: 细节向实习白帽子公开
2015-12-19: 细节向公众公开

简要描述:

艺龙旅行网内网漫游可查全国开房记录(可查实时手机验证码\任意密码重置\可获得主站源代码\订单数据库配置等)

详细说明:

今天升级了自己的小字典
通过百度搜索知道了艺龙邮箱的格式
名字全拼.姓氏全拼@elong.com
邮件地址https://mail.corp.elong.com
OWA,可爆破
最后得到一枚无权限账户(邮箱只有入职指南)

mask 区域
*****@elon*****
*****34*****


在入职指南的文档中得到VPN地址

1、VPN权限
2、文件、财务服务器访问
3、商业软件安装
VPN登录地址:http://211.***.***.152 ,权限开通后,使用您的邮箱账户进行登录即可。


用邮箱账号密码登录成功,VPN没有任何系统权限,但是此时已经处于内网环境
开启探测
使用子域名工具得知
http://tech.corp.elong.com指向某内网IP
打开页面是艺龙Wiki

屏幕快照 2015-11-01 上午3.49.42.png


Wiki往往是敏感信息最多的地方
在wiki中收集信息,得到elong内网的各网段说明文档
厂商注意,下面贴出的网段列表内容处于乌云mask标签中,其他白帽子看不到内容,请放心

mask 区域
***** (Office内部*****
*****24 (ebj-b2 Of*****
*****cp1-a.bjs和cp1-*****
*****30 (互联通I*****
***** /24 (edodo^*****
*****23 (Travelsky*****
***** /24 (中信*****
*****.9.0 /24 (*****
*****(公司高管^*****
*****4 (无线局^*****
*****4 (无线局^*****
*****.50 /32 (交*****
*****.200 /31 (Gu*****
*****30 (B28-交通^*****
*****0 /31 (广发*****
*****^^交通银行专*****
*****24 (VM-home-vi*****
*****.161.0 /24*****
*****.162.0 /24*****
*****.0 /24 (XICI*****
***** (XICI IDC网^*****
***** c3560-a.wht/c3560*****
*****roxy1.xici.bjc连*****
*****(c3560-a.wht连^*****
*****asa5500-1.ebj-b2*****
*****21 (分公司^*****
*****(到中国银行*****
***** (IDC1新增交*****
***** 10 VLAN 20--CAE-I*****
*****.0 /24 (Set 11 VLAN 21*****
*****.0 /24 (Set 12 VLAN 22*****
*****c3825-2.ebj-b2,*****
*****8.11.0 /24*****
*****8.12.0 /24*****
*****^^国电信合作*****
*****(中国电信合*****
*****6亦庄IDC^*****
*****e网络设备管*****
*****网络设备管^*****
*****^^络设备管^*****
*****bjy ---- n7010-b.*****
*****.bjy ---- c4948-b*****
*****.bjy ---- c4948-a*****
*****.bjy ---- c4948-b*****
*****.bjs ----- n7010-*****
*****.bjs ----- n7010-*****
*****7K-A.BJS----N7*****
*****7K-B.BJS----N7*****
*****0 (N7K-A.BJY*****
*****0 (N7K-B.BJY*****
*****0 (C4948-C.B*****
*****(N7K-A.BJY---*****
***** (internet ^*****


这样就给了内网扫描器很好的素材
对几个资源丰富的网段扫了一番
发现了SVN


此处登录可以查看SVN权限

http://192.168.0.171/submin/login/


此链接可以直达SVN目录

http://192.168.0.171/svn/Code


SVN的Web登录界面没有验证码和防爆机制
用字典爆破出几个弱口令用户,密码123456

mask 区域
*****nv_R*****
*****.zha*****
*****alu*****
*****feng.*****
*****ing*****
*****un.*****



登录其中一个账号,权限是

onlineweb_java_dev
onlineweb__dev
mobile_dev


在Wiki中检索信息
onlineweb__dev这个目录看起来会有好东西
翻了翻Svn,发现了elong主站源代码

m.elong.com


屏幕快照 2015-11-01 上午3.59.42.png


对比一下SVN和线上代码,一毛一样
SVN:

屏幕快照 2015-11-01 上午4.00.21.png


线上:

屏幕快照 2015-11-01 上午4.02.04.png


<link rel='dns-prefetch' href='http://m.elong.com'>

<title>酒店预订专家_艺龙网移动版</title>
<!-- 由main.sass 生成 -->
<link rel="stylesheet" href="/slarkjs/dist/hotel/homepage.css" />
<link rel="stylesheet" href="/slarkjs/lib/idangerous.swiper.css" />
<style>
</style>
</head>
<body>
<div class="pages">
<div class="page">
<div class="page-content page-search">
<span class="logo"></span>
<div class="swiper-container">
<div class="swiper-wrapper">
<div class="swiper-slide" style="background:url(http://m.elongstatic.com/static/webapp/hotel/2015/08/v6/img/loadingimg.gif) no-repeat center;"></div>
</div>
<!-- Add Pagination -->
<div class="swiper-pagination"></div>
</div>
<div class="search-wrap">
<div class="search-lb">
<ul class="search-list">
<li class="addr">
<i class="addr"></i>
<p class="cityname" city-id=""></p>
<i class="icon-left"></i>
<b class="right isnearby"><i class="icon-nearby"></i><span>附近</span></b>
</li>
<li class="date">
<i class="icon-time"></i>
<div class="d1"><p class="type">入住<span class="night" style="visibility: hidden">深夜</span></p><p><span class="indate" data-value=""></span><span class="startweek"></span></p></div>
<div class="d2"></div>
<div class="d3"><p class="type">离店</p><p><span class="outdate" data-value=""></span><span class="endweek"></span></p></div>
<div class="d4 total"></div>
<i class="icon-left"></i>
</li>
<li class="name"><!--输入内容添加on-->
<div class="sea-box">
<i class="name"></i>
<input type="input" value="" placeholder="酒店名称/位置不限" readonly="readonly">
<i class="icon-left"></i>
</div>


酒店业务数据接口

mport com.elong.titan.hotel.agent.resp.GetPayTokenResp;
import com.elong.titan.hotel.agent.resp.GetPoiDetailInfoResq;
import com.elong.titan.hotel.agent.resp.HasHotelFavoriteResp;
import com.elong.titan.hotel.agent.resp.HotelDestinationSugResp;
import com.elong.titan.hotel.agent.resp.HotelOrderPayResp;
/**
* @Description: 酒店业务数据接口实现类
* @author jun.ma1
* @date 2015年4月23日
*/
@Service
public class HotelAgentImpl implements IHotelAgent {
//
// /**
// * 获取酒店详情
// *
// * @author Fasheng.Dai
// * @since 2015-4-3 下午4:55:37
// * @param req
// * @return
// * @throws Exception
// */
// @MEncrypt
// public GetHotelDetailByRoomGroupResp getHotelDetailByRoomGroupResp(GetHotelDetailByRoomGroupReq req) throws Exception {
// // http://mobile-api2011.elong.com/hotel/hotelDetailV4 4000
// /*
// * String mapiUrl = BaseConfig.HotelApiUrl.getValue() + "/hotelDetailV4?"; return HttpHelper.doGet(mapiUrl + req.getAesParams(), req.getHttpHeader(),
// * GetHotelDetailResp.class, 4000);
// */
// String mapiUrl = BaseConfig.HotelApiUrl.getValue() + "/getHotelDetailByRoomGroup?";
// return HttpHelper.doGet(mapiUrl + req.getAesParams(), req.getHt


酒店、团购数据库、订单数据库接口(密码也有)

WeChat_1446322265.jpeg


mask 区域
*****^^史服^*****
*****istorySer*****
1.://**.**.**//192.168.64.22/CommonService/CreditCardHistory.asmx</ServiceUrl>_
*****t;300<*****
*****HistorySe*****
**********
*****^客史^*****
*****HistoryS*****
2.://**.**.**//192.168.64.21:8080/DebitCardHistoryService/DebitCardHistoryInfoRequest/</ServiceUrl>_
*****imeOu*****
*****gt;3000</*****
*****t;3000</O*****
*****gt;5000</R*****
*****t;30000</*****
*****TimeO*****
*****istorySer*****
**********
*****积分^*****
*****intsSer*****
3.://**.**.**//crmws.vip.elong.com/ElongPointsWs/MemPoints.asmx</ServiceUrl>_
*****30000</*****
*****ointsSe*****
*****^^收^*****
*****ectionSe*****
4.://**.**.**//192.168.64.21/EmailCollection.WebService/EmailCollection.asmx</ServiceUrl>_
*****30000</*****
*****lectionS*****


礼品卡等线上代码

屏幕快照 2015-11-01 上午4.43.29.png


运维平台

屏幕快照 2015-11-01 上午5.00.55.png


====================================
某处可查艺龙系统发送给用户的短信
导致任意密码重置、全国开房记录查询
艺龙商务旅行信息查询系统
http://eds.elong.com/mis/index2.asp
之前已经收集了艺龙内部系统用户名了
对该系统进行弱口令探测
得到数十个弱口令账号
随机选择一个登录
wenwen.ren q1q1q1
此处可查全国短信

http://eds.elong.com/mis/sms/sms_find_new.asp


以下是证明,验证码实时可查导致任意账户登录\任意密码重置\查询订单信息

meitu2.jpg


meitu1.jpg


查询开房记录
可以通过手机号、订单号查询开房记录

2.pic_hd.jpg


屏幕快照 2015-11-01 下午5.23.34.png


屏幕快照 2015-11-01 下午5.23.34.png


漏洞证明:

修复方案:

版权声明:转载请注明来源 鸟云厂商@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-11-04 10:17

厂商回复:

正在修复,感谢白帽子!

最新状态:

暂无