携程客栈通管理系统绕过登录验证直进后台

漏洞概要

缺陷编号:WooYun-2015-0123929

漏洞标题:携程客栈通管理系统绕过登录验证直进后台

相关厂商:携程旅行网

漏洞作者:上岸的鱼

提交时间:2015-07-01 17:04

公开时间:2015-07-01 18:07

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

Tags标签:

漏洞详情

披露状态:

2015-07-01: 细节已通知厂商并且等待厂商处理中
2015-07-01: 厂商已查看当前漏洞内容,细节仅向厂商公开
2015-07-01: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

看到携程给的奖励很丰富啊
心动了,就有行动了

详细说明:

在对客栈通管理系统进行扫描分析的时候,无意中看到某个url返回了后台管理的页面,而不是重定向到登录页面,看着就有戏,直接将url放到浏览器中去,跳回到登录页面了/(ㄒoㄒ)/~~后来仔细分析对比了两次发送的请求,发现成功的多了个cookie字段: .ASPXAUTH使用burpsuite,拦截请求包,在原有的cookie中加上:

成功了,一阵惊喜,然而又失望了,随便点一个链接之后,就又调回到登录页面,不过这又怎么能难倒我呢,只要每个请求都加上这个cookie值就好了嘛,但是不能每次都拦截请求,在手动添加啊,幸好burpsuite够人性,这些都为我们考虑好了,只要在options选项卡中添加一个正则规则就解决了,如图:

验证截图:http://www.kztpms.com/PMS/accountmanage/accountlist

http://www.kztpms.com/PMS/order

http://www.kztpms.com/PMS/home

页面还是挺漂亮的验证是结束了,但是关键问题cookie中的 .ASPXAUTH 字段值怎么会在扫描的时候返回回来呢,回过头去,分析扫描发送的和浏览器正常发送的请求包,发现http请求头不一样:扫描的http头:

正常请求的http头:

我只能想到这了,后来尝试也确实,加上了no-cache就返回了,得来全不费工夫啊,具体后台怎么处理的,那就不用问我了啊,我也不懂

漏洞证明:

这里测试验证的时候返回的test用户的认证会话缓存信息,其他用户的是否会返回正在尝试。。。

修复方案:

开发懂的不好意思,又让开发要加班了

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-07-0118:07

厂商回复:

感谢您对此漏洞信息的提交,此功能为试用功能,为正常功能

最新状态:

暂无

评价

  1. 2010-01-01 00:00 Me_Fortune 白帽子 | Rank:144 漏洞数:18)

    burp玩得6666

  2. 2010-01-01 00:00 黑暗游侠 白帽子 | Rank:1058 漏洞数:93)

    携程就是牛逼,洞主我为你不值,这个给你忽略了

  3. 2010-01-01 00:00 http://www.wooyun.org/corps/携程旅行网 白帽子 | Rank:0 漏洞数:0)

    洞主上面提到的的cookie,其实是首页演示账户的cookie,http://www.kztpms.com/首页有个"立即试用"按钮,点击后就可以看到洞主进入的后台页面

  4. 2010-01-01 00:00 mtfly 白帽子 | Rank:20 漏洞数:2)

    哈哈 笑死了,burp半天,各种高端。其实就是一个试用的登录界面。。