艺龙旅行网内网漫游可查全国开房记录（可查实时手机验证码\任意密码重置\可获得主站源代码\订单数据库配置等）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0150987

漏洞标题：艺龙旅行网内网漫游可查全国开房记录（可查实时手机验证码\任意密码重置\可获得主站源代码\订单数据库配置等）

漏洞作者：鸟云厂商

提交时间：2015-11-01 08:01

修复时间：2015-12-19 10:18

公开时间：2015-12-19 10:18

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-11-01：细节已通知厂商并且等待厂商处理中
2015-11-04：厂商已经确认，细节仅向厂商公开
2015-11-14：细节向核心白帽子及相关领域专家公开
2015-11-24：细节向普通白帽子公开
2015-12-04：细节向实习白帽子公开
2015-12-19：细节向公众公开

简要描述：

艺龙旅行网内网漫游可查全国开房记录（可查实时手机验证码\任意密码重置\可获得主站源代码\订单数据库配置等）

详细说明：

今天升级了自己的小字典
通过百度搜索知道了艺龙邮箱的格式
名字全拼.姓氏全拼@elong.com
邮件地址https://mail.corp.elong.com
OWA，可爆破
最后得到一枚无权限账户（邮箱只有入职指南）

mask 区域

*****@elon*****
*****34*****

在入职指南的文档中得到VPN地址

1、VPN权限
2、文件、财务服务器访问
3、商业软件安装
VPN登录地址：http://211.***.***.152 ，权限开通后，使用您的邮箱账户进行登录即可。

用邮箱账号密码登录成功，VPN没有任何系统权限，但是此时已经处于内网环境
开启探测
使用子域名工具得知
http://tech.corp.elong.com指向某内网IP
打开页面是艺龙Wiki

Wiki往往是敏感信息最多的地方
在wiki中收集信息，得到elong内网的各网段说明文档
厂商注意，下面贴出的网段列表内容处于乌云mask标签中，其他白帽子看不到内容，请放心

mask 区域

***** (Office内部*****
*****24 (ebj-b2 Of*****
*****cp1-a.bjs和cp1-*****
*****30 (互联通I*****
***** /24 (edodo^*****
*****23 (Travelsky*****
***** /24 (中信*****
*****.9.0 /24 (*****
*****(公司高管^*****
*****4 (无线局^*****
*****4 (无线局^*****
*****.50 /32 (交*****
*****.200 /31 (Gu*****
*****30 (B28-交通^*****
*****0 /31 (广发*****
*****^^交通银行专*****
*****24 (VM-home-vi*****
*****.161.0 /24*****
*****.162.0 /24*****
*****.0 /24 (XICI*****
***** (XICI IDC网^*****
***** c3560-a.wht/c3560*****
*****roxy1.xici.bjc连*****
*****(c3560-a.wht连^*****
*****asa5500-1.ebj-b2*****
*****21 (分公司^*****
*****(到中国银行*****
***** (IDC1新增交*****
***** 10 VLAN 20--CAE-I*****
*****.0 /24 (Set 11 VLAN 21*****
*****.0 /24 (Set 12 VLAN 22*****
*****c3825-2.ebj-b2，*****
*****8.11.0 /24*****
*****8.12.0 /24*****
*****^^国电信合作*****
*****(中国电信合*****
*****6亦庄IDC^*****
*****e网络设备管*****
*****网络设备管^*****
*****^^络设备管^*****
*****bjy ---- n7010-b.*****
*****.bjy ---- c4948-b*****
*****.bjy ---- c4948-a*****
*****.bjy ---- c4948-b*****
*****.bjs ----- n7010-*****
*****.bjs ----- n7010-*****
*****7K-A.BJS----N7*****
*****7K-B.BJS----N7*****
*****0 (N7K-A.BJY*****
*****0 (N7K-B.BJY*****
*****0 (C4948-C.B*****
*****(N7K-A.BJY---*****
***** (internet ^*****

这样就给了内网扫描器很好的素材
对几个资源丰富的网段扫了一番
发现了SVN

此处登录可以查看SVN权限

http://192.168.0.171/submin/login/

此链接可以直达SVN目录

http://192.168.0.171/svn/Code

SVN的Web登录界面没有验证码和防爆机制
用字典爆破出几个弱口令用户,密码123456

mask 区域

*****nv_R*****
*****.zha*****
*****alu*****
*****feng.*****
*****ing*****
*****un.*****

登录其中一个账号，权限是

onlineweb_java_dev
onlineweb__dev
mobile_dev

在Wiki中检索信息
onlineweb__dev这个目录看起来会有好东西
翻了翻Svn，发现了elong主站源代码

m.elong.com

对比一下SVN和线上代码，一毛一样
SVN：

线上：

<link rel='dns-prefetch' href='http://m.elong.com'>
    
	<title>酒店预订专家_艺龙网移动版</title>
    <!-- 由main.sass 生成    -->
	<link rel="stylesheet" href="/slarkjs/dist/hotel/homepage.css" />
	<link rel="stylesheet" href="/slarkjs/lib/idangerous.swiper.css" />
	<style>
	</style>
</head>
<body>
	<div class="pages">
	 	<div class="page">
			<div class="page-content page-search">
				<span class="logo"></span>
				<div class="swiper-container">
			        <div class="swiper-wrapper">
						<div class="swiper-slide"  style="background:url(http://m.elongstatic.com/static/webapp/hotel/2015/08/v6/img/loadingimg.gif) no-repeat center;"></div>
			        </div>
			        <!-- Add Pagination -->
			        <div class="swiper-pagination"></div>
			    </div>
			    <div class="search-wrap">
			    	<div class="search-lb">
						<ul class="search-list">
							<li class="addr">
								<i class="addr"></i>
								<p class="cityname" city-id=""></p>
								<i class="icon-left"></i>
								<b class="right isnearby"><i class="icon-nearby"></i><span>附近</span></b>
							</li>
							<li class="date">
								<i class="icon-time"></i>
								<div class="d1"><p class="type">入住<span class="night" style="visibility: hidden">深夜</span></p><p><span class="indate" data-value=""></span><span class="startweek"></span></p></div>
								<div class="d2"></div>
								<div class="d3"><p class="type">离店</p><p><span class="outdate" data-value=""></span><span class="endweek"></span></p></div>
								<div class="d4 total"></div>
								<i class="icon-left"></i>
							</li>
							<li class="name"><!--输入内容添加on-->
								<div class="sea-box">
									<i class="name"></i>
									<input type="input" value="" placeholder="酒店名称/位置不限" readonly="readonly">
									<i class="icon-left"></i>
								</div>

酒店业务数据接口

mport com.elong.titan.hotel.agent.resp.GetPayTokenResp;
import com.elong.titan.hotel.agent.resp.GetPoiDetailInfoResq;
import com.elong.titan.hotel.agent.resp.HasHotelFavoriteResp;
import com.elong.titan.hotel.agent.resp.HotelDestinationSugResp;
import com.elong.titan.hotel.agent.resp.HotelOrderPayResp;
/**
 * @Description: 酒店业务数据接口实现类
 * @author jun.ma1
 * @date 2015年4月23日
 */
@Service
public class HotelAgentImpl implements IHotelAgent {
//
//	/**
//	 * 获取酒店详情
//	 *
//	 * @author Fasheng.Dai
//	 * @since 2015-4-3 下午4:55:37
//	 * @param req
//	 * @return
//	 * @throws Exception
//	 */
//	@MEncrypt
//	public GetHotelDetailByRoomGroupResp getHotelDetailByRoomGroupResp(GetHotelDetailByRoomGroupReq req) throws Exception {
//		// http://mobile-api2011.elong.com/hotel/hotelDetailV4 4000
//		/*
//		 * String mapiUrl = BaseConfig.HotelApiUrl.getValue() + "/hotelDetailV4?"; return HttpHelper.doGet(mapiUrl + req.getAesParams(), req.getHttpHeader(),
//		 * GetHotelDetailResp.class, 4000);
//		 */
//		String mapiUrl = BaseConfig.HotelApiUrl.getValue() + "/getHotelDetailByRoomGroup?";
//		return HttpHelper.doGet(mapiUrl + req.getAesParams(), req.getHt

酒店、团购数据库、订单数据库接口（密码也有）

mask 区域

*****^^史服^*****
*****istorySer*****
1.://**.**.**//192.168.64.22/CommonService/CreditCardHistory.asmx</ServiceUrl>_
*****t;300<*****
*****HistorySe*****
**********
*****^客史^*****
*****HistoryS*****
2.://**.**.**//192.168.64.21:8080/DebitCardHistoryService/DebitCardHistoryInfoRequest/</ServiceUrl>_
*****imeOu*****
*****gt;3000</*****
*****t;3000</O*****
*****gt;5000</R*****
*****t;30000</*****
*****TimeO*****
*****istorySer*****
**********
*****积分^*****
*****intsSer*****
3.://**.**.**//crmws.vip.elong.com/ElongPointsWs/MemPoints.asmx</ServiceUrl>_
*****30000</*****
*****ointsSe*****
*****^^收^*****
*****ectionSe*****
4.://**.**.**//192.168.64.21/EmailCollection.WebService/EmailCollection.asmx</ServiceUrl>_
*****30000</*****
*****lectionS*****

礼品卡等线上代码

运维平台

====================================
某处可查艺龙系统发送给用户的短信
导致任意密码重置、全国开房记录查询
艺龙商务旅行信息查询系统
http://eds.elong.com/mis/index2.asp
之前已经收集了艺龙内部系统用户名了
对该系统进行弱口令探测
得到数十个弱口令账号
随机选择一个登录
wenwen.ren q1q1q1
此处可查全国短信

http://eds.elong.com/mis/sms/sms_find_new.asp

以下是证明,验证码实时可查导致任意账户登录\任意密码重置\查询订单信息

查询开房记录
可以通过手机号、订单号查询开房记录

漏洞证明：

修复方案：

版权声明：转载请注明来源鸟云厂商@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2015-11-04 10:17

厂商回复：

正在修复，感谢白帽子！

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0150987

漏洞标题：艺龙旅行网内网漫游可查全国开房记录（可查实时手机验证码\任意密码重置\可获得主站源代码\订单数据库配置等）

相关厂商：艺龙旅行网

漏洞作者：鸟云厂商

提交时间：2015-11-01 08:01

修复时间：2015-12-19 10:18

公开时间：2015-12-19 10:18

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源鸟云厂商@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0150987

漏洞标题：艺龙旅行网内网漫游可查全国开房记录（可查实时手机验证码\任意密码重置\可获得主站源代码\订单数据库配置等）

相关厂商：艺龙旅行网

漏洞作者： 鸟云厂商

提交时间：2015-11-01 08:01

修复时间：2015-12-19 10:18

公开时间：2015-12-19 10:18

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0150987"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 鸟云厂商@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：鸟云厂商

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源鸟云厂商@乌云