当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0102085

漏洞标题:第三方某售票系统通用型二十处越权漏洞泄露多家公司的员工和订单信息(姓名、手机、证件号、航班号和起飞时间等)

相关厂商:cncert国家互联网应急中心

漏洞作者: HackBraid

提交时间:2015-03-18 13:21

修复时间:2015-06-21 08:10

公开时间:2015-06-21 08:10

漏洞类型:非授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-18: 细节已通知厂商并且等待厂商处理中
2015-03-23: 厂商已经确认,细节仅向厂商公开
2015-03-26: 细节向第三方安全合作伙伴开放
2015-05-17: 细节向核心白帽子及相关领域专家公开
2015-05-27: 细节向普通白帽子公开
2015-06-06: 细节向实习白帽子公开
2015-06-21: 细节向公众公开

简要描述:

都是经典的越权,一针见血~

详细说明:

http://www.piaoyou.org/case_web.htm 票友软件的案例
随意注册企业号:18200110000,密码也是这个,由于现在只能注册企业号,所以下面的越权和注入都是基于企业账户,其他账户也可能存在功能性的越权。
一、cookie存在越权(伪造member id很直接):
1.系统管理处(四处越权)
/System/myinfo.aspx
/member/Group.aspx
/member/Flag.aspx
/member/Personnel.aspx
先来看看企业信息处,直接查看所有账户明文密码,这里以神华为例,抓包修改cookie的member id参数为3:

12.jpg


1.订单查询处(五处越权)

y.jpg


/Order/flight.aspx
/Order/hotel.aspx
/Order/train.aspx
/Order/Return.aspx
/Order/scgq_list.aspx
2.订单审核处(三处越权)
/Check/flight.aspx
/Check/hotel.aspx
/Check/train.aspx
3.差旅报表处(六处越权)
/Report/flight.aspx
/Report/train.aspx
/Report/hotel.aspx
/Report/visa.aspx
/Report/bx.aspx
/Report/other.aspx
二、财务的查询功能都存在四处越权漏洞(伪造POST参数中的member id,同样直接):
1.财务管理的综合统计处
/Financial/orders_all.aspx
2.财务管理的付款申请记录处
/Financial/fksq_meb.aspx
3.财务管理的行程单交接处
/Financial/xcd_orders.aspx
4.财务管理的已付款记录处
/Financial/pay_history.aspx

漏洞证明:

案例一、http://www.h-h.com.cn/
1.系统管理处的查看密码详细说明提到过了,这里来个查看神华所有员工信息(做个字典也好)
http://www.h-h.com.cn/member/Personnel.aspx,抓包修改cookie的member id参数为3,这样深化员工信息就泄露了,左边的员工操作也可以越权

13.jpg


14.jpg


系统管理处的其它操作也存在这样的越权

15.jpg


2.http://www.h-h.com.cn/Order/flight.aspx,抓包修改cookie的member id参数0-640都行

1.jpg


当然burp的intruder功能可以窥探所有人员的航班信息了

2.jpg


3.http://www.h-h.com.cn/Order/hotel.aspx,修改cookie的member id为9

2.jpg


4.http://www.h-h.com.cn/Order/train.aspx,修改cookie的member id为32

3.jpg


5.http://www.h-h.com.cn/Order/Return.aspx

4.jpg


6.http://www.h-h.com.cn/Check/hotel.aspx,修改cookie的member id为9

5.jpg


7.http://www.h-h.com.cn/Check/train.aspx,修改cookie的member id为69

6.jpg


8.http://www.h-h.com.cn/Report/flight.aspx,修改cookie的member id为1

7.jpg


9.http://www.h-h.com.cn/Report/train.aspx,修改cookie的member id为55

8.jpg


10.http://www.h-h.com.cn/Report/hotel.aspx,修改cookie的member id为9

9.jpg


11.http://www.h-h.com.cn/Report/visa.aspx,修改cookie的member id为69

10.jpg


12.http://www.h-h.com.cn/Report/bx.aspx,修改cookie的member id为69

11.jpg


13.http://www.h-h.com.cn/Report/other.aspx,修改cookie的member id为69

16.jpg


14.http://www.h-h.com.cn/Financial/orders_all.aspx,修改POST中的mid为3

17.jpg


汇总下来不到一年用了40W+

18.jpg


也有公司花了400W,是海之梦

19.jpg


15.http://www.h-h.com.cn/Financial/fksq_meb.aspx ,修改POST中的mid为86

20.jpg


21.jpg


案例二、http://www.4008836868.com
1.越权查看其它企业密码

a.jpg


2.越权查看其它企业员工信息(身份证、护照)

b.jpg


3.订单查询处

c.jpg


4.订单审核处

d.jpg


5.差旅报表处

e.jpg


6.财务管理处

f.jpg


案例3.http://hhcl.h-h.com.cn/
1.越权查看其它企业密码

a.jpg


2.越权查看其它企业员工信息(身份证、护照)这个近2000员工信息

b.jpg


3.订单查询处

c.jpg


4.订单审核处

e.jpg


5.差旅报表处

d.jpg


6.财务管理处 200多万的

f.jpg


修复方案:

很严重吧
加上session端的验证吧

版权声明:转载请注明来源 HackBraid@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-03-23 08:08

厂商回复:

CNVD确认并复现所述情况,暂未确认软件生产厂商以及暂未建立与对应网站的直接处置渠道,待认领。

最新状态:

暂无