当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0162282

漏洞标题:航空安全之深圳航空某交易平台漏洞礼包(大量账户弱口令&ST2命令执行)

相关厂商:深圳航空

漏洞作者: 路人甲

提交时间:2015-12-18 09:57

修复时间:2016-02-01 10:51

公开时间:2016-02-01 10:51

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-18: 细节已通知厂商并且等待厂商处理中
2015-12-21: 厂商已经确认,细节仅向厂商公开
2015-12-31: 细节向核心白帽子及相关领域专家公开
2016-01-10: 细节向普通白帽子公开
2016-01-20: 细节向实习白帽子公开
2016-02-01: 细节向公众公开

简要描述:

深圳航空某交易平台漏洞礼包

详细说明:

深圳金鹏工贸有限责任公司(以下简称公司)成立于2001年5月,注册资金2000万元,为深圳航空有限责任公司(以下简称深航)直属全资子公司。
本次测试域名www.airpp.com和www.airpp.net 通过ping域名发现网站应该使用了cdn防护,
如图1
思路就是,既然主站使用了cdn,那么应该会有漏网之鱼的分站,所以子域名暴力破解吧
发现了一个这个
web.airpp.net -->113.108.100.142 猜测这个ip段应该是真实的ip断,所以思路又来了,c段扫一下吧,运气比较好

k8ip3=113.108.100.142 [2]
k8url3=http://sys.airpp.com/pptravel/userManagerAction!login.action -> 鹏朋旅行网后台-登录
k8url3=http://113.108.100.142/weballiance/cooperateCode!goSearchDemo255_300.action?selColor=blue&weballiancecode=L20120515152239892420 -> 红-搜索框代码(国际)
[k8note4]
k8ip4=113.108.100.157 [2]
k8url4=http://www.airpp.cn/ -> 深航差旅管家
k8url4=http://www.airpp.cn/ppbid/sys/contentAction!findById.action?id=4782 -> 鹏朋竞价平台 - 深航差旅管家
[k8note5]
k8ip5=113.108.100.159 [2]
k8url5=http://crm.airkunming.com/ -> 尊享俱乐部
k8url5=http://crm.airkunming.com/ffp/login.shtml -> 昆明航空常旅客系统 - 尊享俱乐部
[k8note6]
k8ip6=113.108.100.169 [1]
k8url6=http://servinfo.shenzhenair.com/sapss/login -> 深圳航空有限责任公司-合作商服务信息平台
[k8note7]
k8ip7=113.108.100.173 [2]
k8url7=http://tmc.95080.com/ -> 工贸差旅管理系统
k8url7=http://tmc.95080.com/business-travel/loginAction!login.action -> 工贸差旅管理系统
[k8note8]
k8ip8=113.108.100.177 [2]
k8url8=http://gmtmc.95080.com/pptravel/ -> 工贸企业商旅系统-企业商旅首页
k8url8=http://gmtmc.95080.com/pptravel/inteMallProductAction!showProduct.action -> 鹏朋旅行网
[k8note9]
k8ip9=113.108.100.183 [2]
k8url9=http://szap.shenzhenair.com/szairpay/ -> szap.shenzhenair.com
k8url9=http://szap.shenzhenair.com/szairpay/welcome.htm -> 欢迎使用 深航集中支付结算平台


至此 cdn背后的真实ip出来了,那么挨着测测吧
未及时升级的一个分站,被我捡了个漏,上图2吧
数据库链接字符串:
database.url=jdbc:oracle:thin:@10.12.66.30:1521:weballiance
database.driver=oracle.jdbc.driver.OracleDriver
database.username=weballiance
database.password=3205893abc
通过工具可直接连接数据库,查看管理员账号密码等。
其他站貌似都升级了,怎么偏偏漏了一个呢?
在拿该站shell的时候,站前面应该是有防篡改的东西,本想着绕过防篡改,但是
没有发现系统上运行着什么防篡改进程,这一点不是很明白,文件可以上传成功,可是不解析,希望厂商或者哪位大神知道的话,分享下思路,谢谢
还有个域名:www.airpp.net
真实ip的话在上面都可以看到的 登陆页面 验证码形同虚设,可爆破
我使用top500用户名+top100密码 尝试,成功登陆多个账户,
wangli 123456
liuyong 123456
wangli 123456
chenjuan 123456
liupeng 123456
wangcheng 123456
zhanglong 123456
yangming 123456
wangli 123456
liumin 111111
2078 zhangpeng 111111
以上账户请及时修改密码,如图3
登陆后台后,没有仔细测,只报一个比较验证的越权吧,可越权查看
orderid参数可遍历
http://www.airpp.net/ppbid/dome/orderFormAction!myOrderInfoshow.action?orderid=5740371&op=OP
我简单尝试了一下,都是可以看到的,数量百万级别的,如图4
其他不测了先,厂商自查下吧,

漏洞证明:

深圳金鹏工贸有限责任公司(以下简称公司)成立于2001年5月,注册资金2000万元,为深圳航空有限责任公司(以下简称深航)直属全资子公司。
本次测试域名www.airpp.com和www.airpp.net 通过ping域名发现网站应该使用了cdn防护,
如图1

1.jpg


思路就是,既然主站使用了cdn,那么应该会有漏网之鱼的分站,所以子域名暴力破解吧
发现了一个这个
web.airpp.net -->113.108.100.142 猜测这个ip段应该是真实的ip断,所以思路又来了,c段扫一下吧,运气比较好

k8ip3=113.108.100.142 [2]
k8url3=http://sys.airpp.com/pptravel/userManagerAction!login.action -> 鹏朋旅行网后台-登录
k8url3=http://113.108.100.142/weballiance/cooperateCode!goSearchDemo255_300.action?selColor=blue&weballiancecode=L20120515152239892420 -> 红-搜索框代码(国际)
[k8note4]
k8ip4=113.108.100.157 [2]
k8url4=http://www.airpp.cn/ -> 深航差旅管家
k8url4=http://www.airpp.cn/ppbid/sys/contentAction!findById.action?id=4782 -> 鹏朋竞价平台 - 深航差旅管家
[k8note5]
k8ip5=113.108.100.159 [2]
k8url5=http://crm.airkunming.com/ -> 尊享俱乐部
k8url5=http://crm.airkunming.com/ffp/login.shtml -> 昆明航空常旅客系统 - 尊享俱乐部
[k8note6]
k8ip6=113.108.100.169 [1]
k8url6=http://servinfo.shenzhenair.com/sapss/login -> 深圳航空有限责任公司-合作商服务信息平台
[k8note7]
k8ip7=113.108.100.173 [2]
k8url7=http://tmc.95080.com/ -> 工贸差旅管理系统
k8url7=http://tmc.95080.com/business-travel/loginAction!login.action -> 工贸差旅管理系统
[k8note8]
k8ip8=113.108.100.177 [2]
k8url8=http://gmtmc.95080.com/pptravel/ -> 工贸企业商旅系统-企业商旅首页
k8url8=http://gmtmc.95080.com/pptravel/inteMallProductAction!showProduct.action -> 鹏朋旅行网
[k8note9]
k8ip9=113.108.100.183 [2]
k8url9=http://szap.shenzhenair.com/szairpay/ -> szap.shenzhenair.com
k8url9=http://szap.shenzhenair.com/szairpay/welcome.htm -> 欢迎使用 深航集中支付结算平台


至此 cdn背后的真实ip出来了,那么挨着测测吧
未及时升级的一个分站,被我捡了个漏,上图2吧

2.jpg


数据库链接字符串:
database.url=jdbc:oracle:thin:@10.12.66.30:1521:weballiance
database.driver=oracle.jdbc.driver.OracleDriver
database.username=weballiance
database.password=3205893abc
通过工具可直接连接数据库,查看管理员账号密码等。
其他站貌似都升级了,怎么偏偏漏了一个呢?
在拿该站shell的时候,站前面应该是有防篡改的东西,本想着绕过防篡改,但是
没有发现系统上运行着什么防篡改进程,这一点不是很明白,文件可以上传成功,可是不解析,希望厂商或者哪位大神知道的话,分享下思路,谢谢
还有个域名:www.airpp.net
真实ip的话在上面都可以看到的 登陆页面 验证码形同虚设,可爆破
我使用top500用户名+top100密码 尝试,成功登陆多个账户,
wangli 123456
liuyong 123456
wangli 123456
chenjuan 123456
liupeng 123456
wangcheng 123456
zhanglong 123456
yangming 123456
wangli 123456
liumin 111111
2078 zhangpeng 111111
以上账户请及时修改密码,如图3

3.jpg


登陆后台后,没有仔细测,只报一个比较验证的越权吧,可越权查看
orderid参数可遍历
http://www.airpp.net/ppbid/dome/orderFormAction!myOrderInfoshow.action?orderid=5740371&op=OP
我简单尝试了一下,都是可以看到的,数量百万级别的,如图4

4.jpg


其他不测了先,厂商自查下吧,

修复方案:

1.cdn不是万能的,别忽略了分站
2.运维同学及时升级线上系统漏洞,不要存在侥幸心里
3.验证码自动刷新,防止爆破

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-12-21 14:22

厂商回复:

感谢您对深航信息系统的关注和帮助,我们将尽快排查程序修补漏洞。

最新状态:

暂无