中国国旅多个系统存在漏洞/后台沦陷/十几个数据库可操控/泄露千万客户信息/几十万注册用户密码

漏洞概要

缺陷编号:WooYun-2016-0203931

漏洞标题:中国国旅多个系统存在漏洞/后台沦陷/十几个数据库可操控/泄露千万客户信息/几十万注册用户密码

相关厂商:中国国旅

漏洞作者:z_zz_zzz

提交时间:2016-04-30 23:48

公开时间:2016-05-09 09:00

漏洞类型:系统/服务补丁不及时

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

Tags标签:

漏洞详情

披露状态:

2016-04-30: 细节已通知厂商并且等待厂商处理中
2016-04-30: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-05-09: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

中国国旅多个系统存在漏洞,导致后台沦陷,十几个数据库可操控,泄露千万客户信息,包括姓名/证件号/手机号/旅行信息/航班信息等,以及几十万注册用户密码

详细说明:

只查询了少量信息证明漏洞,没有做坏事,不要查我的水表中国国旅以下服务器均存在JAVAweblogic反序列化漏洞

先看看第一台,连上服务器,已经有人来过了

换下一台,连上服务器

这台服务器的网站打开后会跳转到中国国旅某应用,可能会有些信息

连上数据库

数据库里的信息都是百万千万级的-.-,由于数量实在太多,select count耗时太久,直接看oracle视图里的NUM_ROWS吧

证件信息,1154W

客户信息,1205W

航班信息,895W

还是客户信息,569W

员工账号信息

随便找一个登录后台管理系统

随便看一看

貌似最近刚上线了新系统

找个管理员的用户看下

使用管理员账户登录,权限大了很多,能做的事更多了,还是不要乱玩了,免得弄出问题了

员工账号共有一万多个

短信下行记录,75W

短信上行记录,70W

不知道短信上行能做啥

换台服务器登录

这么一堆数据库配置,也是吓尿我了=.=

再换台服务器登录,从主机名看是测试用的服务器

再换台服务器登录

这台服务器里有这个应用

也有好多数据库配置

连上数据库

数据量也是几百万几千万的

团队信息,1284W

证件信息,1126W

短信记录,116W

注册用户信息,45W

随便找一个登录一下

漏洞证明:

见详细说明

修复方案:

打补丁可以参考:修复weblogic的JAVA反序列化漏洞的多种方法http://www.wooyun.org/drops/web-13470

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-05-0909:00

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无

评价

  1. 2010-01-01 00:00 黑色的屌丝 白帽子 | Rank:23 漏洞数:2)

    @z_zz_zzz 求这个连接工具

  2. 2010-01-01 00:00 黑寡妇 白帽子 | Rank:0 漏洞数:0)

    @z_zz_zzz 那个连Oracle的工具是什么??

  3. 2010-01-01 00:00 终于明白 白帽子 | Rank:8 漏洞数:2)

    求神器

  4. 2010-01-01 00:00 atiger77 白帽子 | Rank:0 漏洞数:0)

    求神器..

  5. 2010-01-01 00:00 JustinMao 白帽子 | Rank:0 漏洞数:0)

    AES怎么解密的哦?

  6. 2010-01-01 00:00 习总夸我好青年 白帽子 | Rank:0 漏洞数:0)

    我去,现在还能打开!!!看样是真的忽略了!

  7. 2010-01-01 00:00 z_zz_zzz 白帽子 | Rank:198 漏洞数:18)

    weblogic解密在乌云知识库搜索一下可以找到资料
    这几天回家了,没带电脑。。。