当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0141783

漏洞标题:华住酒店集团某关键配置错误导致大量内部账号破解

相关厂商:汉庭酒店

漏洞作者: feng

提交时间:2015-09-17 17:04

修复时间:2015-11-02 09:36

公开时间:2015-11-02 09:36

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-17: 细节已通知厂商并且等待厂商处理中
2015-09-18: 厂商已经确认,细节仅向厂商公开
2015-09-28: 细节向核心白帽子及相关领域专家公开
2015-10-08: 细节向普通白帽子公开
2015-10-18: 细节向实习白帽子公开
2015-11-02: 细节向公众公开

简要描述:

哎 还是那句话,最近严重缺wb啊

详细说明:

问题简介:
华住酒店的mail系统防爆破机制缺陷,导致可以绕过防爆破机制进行爆破,得到大量内部账户,泄漏了海量的内部信息,继续挖掘的话没准能够内网漫游哦。不过我只是缺wb而已,如果授权可以继续搞搞。
1、先看一下邮箱系统,

huazhu0.jpg


我们都知道outlook是可以爆破的,一看这个界面加了验证码,顿时觉得高大上了。但是作为一个安全测试人员,还是要想办法看看这个机制是否健壮不是。
2、于是乎,右键-》查看源代码,发现其对应的js代码如下:

<script type="text/javascript"  src="jquery.cookie.js"></script>
    <script type="text/javascript">
        var bo = false;
        function showYZM() { if (bo) { $("#lookYZM").replaceWith("<img src='GetImg.aspx'   alt='点击切换验证码' title='点击切换验证码' style=' margin-top:2px; vertical-align:top;cursor:pointer;' onclick=\"this.src='GetImg.aspx?t='+Math.random()\"  />"); } }
        $(document).ready(function () {
            bo = false;
            $("#username").focus();
            $(".btn").before("<label id='spanMsg' style='color:red;padding-right:50px;'> </label>");
            $("#lookYZM").click(function () { bo = true; showYZM(); });
            $("#yzm").focus(function () { if ($("#lookYZM") != null) { bo = true; showYZM(); } });
            $(".btn").click(function () { var codeVaule = $("#yzm").val(); if (codeVaule == "") { $("#spanMsg").html("*验证码不能为空!"); return false; } else if (codeVaule.length != 6) { $("#spanMsg").html("*验证码位数不够!"); return false; } else { var yzmCode = $.cookie("yzmCode").toString(); if (yzmCode == codeVaule) { $("#spanMsg").html("*验证码正确,正在登录..."); return true; } else { $("#spanMsg").html("*验证码错误(区分大小写)!"); document.getElementById("yzm").focus(); return false; } } });
        });
    </script>


关键代码提出来:

var yzmCode = $.cookie("yzmCode").toString(); if (yzmCode == codeVaule) { $("#spanMsg").html("*验证码正确,正在登录..."); return true; } else { $("#spanMsg").html("*验证码错误(区分大小写)!");


我们看到,其验证码的内容是在cookie里面的yzmCode字段的,burp抓包也可以看到
HTTP/1.1 200 OK
Cache-Control: no-cache
Pragma: no-cache
Content-Type: image/Png
Expires: -1
X-OWA-Version: 14.3.210.2
Set-Cookie: yzmCode=9aAKTN; expires=Thu, 17-Sep-2015 07:29:18 GMT; path=/; secure
X-Powered-By: ASP.NET
Date: Thu, 17 Sep 2015 07:09:18 GMT
Content-Length: 1289
哎哟 不错哦,那么思路来了,直接写个脚本抓取返回的cookie中yzmCode字段,然后再提交不就直接绕过验证码了吗。
没错,不过看官你想多了,我们进行下一步的时候,发现客户端并没有提交验证码相关的字段,数据如下:
destination=https%3A%2F%2Fmail.huazhu.com%2Fowa%2F&flags=0&forcedownlevel=0&trusted=0&username=admin&password=fjdsl&isUtf8=1
纳尼,原来验证码只是在前端骗人的
3、好了,直接上burp intruder吧,配置好字典就开跑

漏洞证明:

1、看看弱口令有多少吧,只列出一部分来

huazhu_burp.jpg


2、由于我们说了不去分析内网信息,但是为了证明危害,我还是找到了一个比较特别的账号
那就是apple store的注册账号,有了它我们应该可以更改华住的app stroe上的app了

huazhu_apple.jpg


ps 我把appstore的邮箱密码修改为了huazhu@123

修复方案:

这个,能多给点rank吗 就缺wb啊

版权声明:转载请注明来源 feng@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-09-18 09:34

厂商回复:

已转交相关团队跟进,谢谢!

最新状态:

暂无