漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0123929
漏洞标题:携程客栈通管理系统绕过登录验证直进后台
相关厂商:携程旅行网
漏洞作者: 上岸的鱼
提交时间:2015-07-01 17:04
修复时间:2015-07-01 18:07
公开时间:2015-07-01 18:07
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-07-01: 细节已通知厂商并且等待厂商处理中
2015-07-01: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
看到携程给的奖励很丰富啊
心动了,就有行动了
详细说明:
在对客栈通管理系统进行扫描分析的时候,无意中看到某个url返回了后台管理的页面,而不是重定向到登录页面,看着就有戏,直接将url放到浏览器中去,跳回到登录页面了/(ㄒoㄒ)/~~
后来仔细分析对比了两次发送的请求,发现成功的多了个cookie字段: .ASPXAUTH
使用burpsuite,拦截请求包,在原有的cookie中加上:
成功了,一阵惊喜,然而又失望了,随便点一个链接之后,就又调回到登录页面,不过这又怎么能难倒我呢,只要每个请求都加上这个cookie值就好了嘛,但是不能每次都拦截请求,在手动添加啊,幸好burpsuite够人性,这些都为我们考虑好了,只要在options选项卡中添加一个正则规则就解决了,如图:
验证截图:
http://www.kztpms.com/PMS/accountmanage/accountlist
http://www.kztpms.com/PMS/order
http://www.kztpms.com/PMS/home
页面还是挺漂亮的
验证是结束了,但是关键问题cookie中的 .ASPXAUTH 字段值怎么会在扫描的时候返回回来呢,回过头去,分析扫描发送的和浏览器正常发送的请求包,发现http请求头不一样:
扫描的http头:
正常请求的http头:
我只能想到这了,后来尝试也确实,加上了no-cache就返回了,得来全不费工夫啊,具体后台怎么处理的,那就不用问我了啊,我也不懂
漏洞证明:
这里测试验证的时候返回的test用户的认证会话缓存信息,其他用户的是否会返回正在尝试。。。
修复方案:
开发懂的
不好意思,又让开发要加班了
版权声明:转载请注明来源 上岸的鱼@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-07-01 18:07
厂商回复:
感谢您对此漏洞信息的提交,此功能为试用功能,为正常功能
最新状态:
暂无