如家官网服务器不稳定,如家某服务器配置不当导致各种敏感数据泄露

最新推荐文章于 2022-11-01 01:00:10 发布
最新推荐文章于 2022-11-01 01:00:10 发布
阅读量330 收藏
点赞数
文章标签: 如家官网服务器不稳定

如家最近挺火,也来凑个热闹。漏洞过于明显鉴于厂商隐私安全标题就不写那么明白啦...

## 看域名瞅到

imgpxy.php?url=gnp.740273055060505102%2F5051_htnom%2Fserutcip%2Fmoc.ppaanis.rots.h-gidkcah%2F%2F%3Aptth

##目录遍历各接口外泄

imgpxy.php?url=gnp.260173055060505102%2F5051_htnom%2Fserutcip%2Fmoc.ppaanis.rots.h-gidkcah%2F%2F%3Aptth

imgpxy.php?url=gnp.289383055060505102%2F5051_htnom%2Fserutcip%2Fmoc.ppaanis.rots.h-gidkcah%2F%2F%3Aptth

##down了几个dll反汇编看了下,无果,dll比较敏感相当于源码了

imgpxy.php?url=gnp.257683055060505102%2F5051_htnom%2Fserutcip%2Fmoc.ppaanis.rots.h-gidkcah%2F%2F%3Aptth

漏洞证明:

#瞄到这块经验告诉我有注入code 区域http://api.homeinns.com/CrsWebSrv_CV2/CrsWebSrv.asmx

果然SOAP协议urn:strLicences参数存在注入,包括莫泰酒店数据code 区域[*] ACT

[*] CRS

[*] CRS_HistoryData

[*] Crs_OrderNo_Builder

[*] HCS

[*] HHotel

[*] homeinns

[*] Hotel

[*] ICRSDB

[*] IVRData

[*] mapbar

[*] master

[*] MDEC

[*] model

[*] MotelHCS

[*] msdb

[*] MT_AgentDB

[*] MT_CRS

[*] MT_Rujia_Transmit

[*] OTA

[*] Rujia_Transmit

[*] tempdb

[*] WebPromotron

DBA权限code 区域[*] sa [1]:password hash:0x0100ffdfb5cb94b23749ebddfeebc5a57a....

count一下homeinns hotelcode 区域+---------------+---------+

| Table | Entries |

+---------------+---------+

| dbo.hotelinfo | 2242 |

+---------------+---------+

透视下酒店信息,已码code 区域+------------------------+------+

| email | id |

+------------------------+------+

| a...[email protected] | 1 |

| wk...[email protected] | 10 |

| ai....[email protected] | 100 |

| ha....[email protected] | 1000 |

| ric....[email protected] | 1001 |

+------------------------+------+

MT_AgentDB下还有sync数据。

仅测试,就酱。修复方案:

懂...

南北念鹤
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络工程师成长日记417-西安如家酒店无线覆盖技术支持
20004的专栏
03-15 845
网络工程师成长日记417-西安如家酒店无线覆盖技术支持这是我的第417篇原创文章,记录网络工程师行业的点点滴滴,结交IT行业有缘之人 西安某汉庭连锁酒店WIFI部署项目报告29日中午,我们来到位于西安某路的汉庭连锁酒店。刚到酒店,由于前期没有良好的沟通和了解。在到达项目现场后,我们发现手头没有项目需求,没有项目拓扑,手头工作完全没有办法展开。店长在和我们见面后,安排了住宿并且拿来了我们需要配置安装...
JAVA计算机毕业设计如家酒店管理系统(附源码、数据库)
卓杰计算机设计
10-25 539
Jdk1.8 + Tomcat8.5 + Mysql + HBuilderX(Webstorm也行)+ Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。JAVA + mybatis + Maven + Vue 等等组成,B/S模式 + Maven管理等等。2. 前端:vue+css+javascript+jQuery+easyUI+highcharts。其他版本理论上也可以。2. 使用IDEA/Eclipse/MyEclipse导入项目,修改配置,运行项目;
k8s集群的搭建-云服务器
发呆的比目鱼的博客
11-01 403
k8s集群的搭建-云服务器
计算机网络---通过DNS服务器查询Web服务器的IP地址
weixin_43604927的博客
12-06 1622
通过前面的学习我们已经知道,URL会被解析然后生成HTTP消息。接下来就是要将HTTP消息发送给Web服务器。 由于实际通信中使用的是ip地址而不是域名,所以一定要有一个能够将域名转换为IP地址的角色,这个角色就是DNS服务器 加入DNS这个角色的好处 就像让你记电话号码一样,如果让你记忆一个主机的IP地址(很长很无规律那种)会很反人类,电话号码还好,没那么长,但是说实在的,现代人事情那么多如果不是重要的号码如父母配偶老板的号码,谁会记忆其他人的号码呢,那么难记。所以让人类记忆一个主机的域名就很人性化,比方
荷兰高性能输出服务器,荷兰服务器国内访问慢,怎么加速?
weixin_39952074的博客
08-06 480
荷兰服务器网站的加速方法:1、在选择荷兰服务器时,优先选择直连国内网络骨干的机房;2、根据各个优质机房进行对比,选择域名解析比较快的域名荷兰服务器;3、在设计网站程序时,尽量减少页面请求的数量;4、减少网站页面大小,对页面代码、图片进行压缩;5、在选择荷兰服务器时,要以BGP线路为主;6、给荷兰服务器增加CDN加速服务。如何提高荷兰服务器网站的访问速度?一、从选择租用荷兰服务器上入手1、选择直连国...
1、Spark如家数据实战-读取数据
u013708580的博客
07-05 149
准备测试数据,可以在网上寻找很容易找到,此处不提供下载。 使用Spark Sql读取csv数据,Spark.read不仅提供了读取csv,还提供的json、jdbc、file等各种来源的结构化数据。Spark Sql对各种结构化数据提供各种简单的Api,省去了我们自己通过Api读取数据的过程, package com.mocker.rujia import org.apache.spark.sql.{SparkSession} object RuJiaApplication { def main(a
JAVA毕设项目如家酒店管理系统(java+VUE+Mybatis+Maven+Mysql)
贤杰程序源码
09-28 407
Jdk1.8 + Tomcat8.5 + Mysql + HBuilderX(Webstorm也行)+ Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。JAVA + mybatis + Maven + Vue 等等组成,B/S模式 + Maven管理等等。2. 前端:vue+css+javascript+jQuery+easyUI+highcharts。JAVA毕设项目如家酒店管理系统(java+VUE+Mybatis+Maven+Mysql)
首旅如家升级会员卡,推出喜茶、奈雪、麦当劳等品牌优惠权益
美通社
03-30 2169
对于商业经济而言,这两年最大热的两件事,李佳琦等电商直播带货,Costco会员制被挤爆,这两件看起来完全不同的商业经济事件,背后是同一个商业逻辑:“消费者追求的就是 -- 优质的享受+优惠...
java计算机毕业设计如家酒店管理系统源代码+数据库+系统+lw文档
影伴设计
09-21 278
springboot基于springboot的社会公益平台。springboot基于微信平台的s店智能管理系统小程序。JSP物流仓储仓库管理系统的设计与实现sqlserver。springboot体育馆预定管理平台的设计与实现。springboot企业固定资产管理系统的设计实现。jsp会议管理系统的设计与实现sqlserver。ssm线上远程教学及自主学平台的设计与实现。
携程网 青岛地区如家酒店评论数据
08-14
携程网 青岛地区如家酒店评论数据,用sql实现 如何生成,详情参考https://blog.csdn.net/sinat_23076629/article/details/81665988
忠诚:如家课件.ppt
02-06
忠诚:如家课件
某品牌管理“如家杯”服务和管理比赛题库完整.doc
09-20
【知识点详解】 1. 消防安全法规:《中华人民共和国消防法》规定了消防工作的基本原则,强调预防为主、防消结合的方针。酒店的消防安全工作遵循...对于参加“如家杯”服务和管理比赛的选手,这些内容是必备的知识点。
基于stm32+FreeRTOS+ESP8266的实时天气系统
最新发布
06-22
【作品名称】:基于stm32+FreeRTOS+ESP8266的实时天气系统 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】:项目简介 基于stm32F407+FreeRTOS+ESP8266的实时气象站系统,通过物联网技术实时读取天气情况,温度以及自带了一个计时功能。 所需设备 stm32F407,淘晶驰串口屏,ESP8266; 串口屏连接串口3,ESP8266连接串口2,串口1用于打印状态。 实现过程 通过对ESP8266发送AT指令,从服务器读取天气的json数据,然后通过cJSON解码数据,最后FreeRTOS对任务进行管理(FreeRTOS和cJSON有冲突,需要将cJSON申请内存空间的函数替换成FreeRTOS申请内存的函数,每次解码后,一定要释放内存,否则解码会卡死,而且需要把Heap_size设置稍微大一点,推荐设置为4096)
地县级城市建设2022-2002 公厕数 公厕数-三类以上公厕数 市容环卫专用车辆设备总数 省份 城市.xlsx
06-22
数据含省份、行政区划级别(细分省级、地级市、县级市)两个变量,便于多个角度的筛选与应用 数据年度:2002-2022 数据范围:全693个地级市、县级市、直辖市城市,含各省级的汇总tongji数据 数据文件包原始数据(由于多年度指标不同存在缺失值)、线性插值、回归填补三个版本,提供您参考使用。 其中,回归填补无缺失值。 填补说明: 线性插值。利用数据的线性趋势,对各年份中间的缺失部分进行填充,得到线性插值版数据,这也是学者最常用的插值方式。 回归填补。基于ARIMA模型,利用同一地区的时间序列数据,对缺失值进行预测填补。 包含的主要城市: 通州 石家庄 藁城 鹿泉 辛集 晋州 新乐 唐山 开平 遵化 迁安 秦皇岛 邯郸 武安 邢台 南宫 沙河 保定 涿州 定州 安国 高碑店 张家口 承德 沧州 泊头 任丘 黄骅 河间 廊坊 霸州 三河 衡水 冀州 深州 太原 古交 大同 阳泉 长治 潞城 晋城 高平 朔州 晋中 介休 运城 永济 .... 等693个地级市、县级市,含省级汇总 主要指标:
Xposed Framework 是一种为 Android 系统设计的软件框架,它可以实现对 Android 系统的各种修改
06-22
Xposed Framework 主要特点: 模块化定制:Xposed 框架允许用户安装各种模块,这些模块可以修改系统和应用程序的行为,添加新功能,或者改进现有功能。 不需要刷机:与传统的修改 Android 系统需要刷机不同,Xposed Framework 只需要在已经 root 过的设备上安装 Xposed 框架,然后即可通过安装模块来实现对系统的定制。 易于管理:Xposed 框架提供了一个用户友好的管理界面,用户可以很容易地查看已安装的模块、启用或禁用模块,并进行相关设置。 灵活性:由于 Xposed 框架的模块化设计,用户可以根据个人喜好选择安装不同的模块,从而实现个性化的定制。 使用 Xposed Framework 需要注意的事项: Root 权限:安装 Xposed Framework 需要设备拥有 Root 权限,因此这可能会导致设备保修失效,同时需要谨慎操作,以避免对系统造成损害。 模块安全:Xposed 框架的模块是由第三方开发者开发的,因此需要注意模块的来源和安全性,避免安装恶意模块导致系统问题。 系统稳定性:一些 Xposed 模块可能会影响系统
YOLOv10算法直升机机场-停机坪标志检测+数据集
06-22
yolov10算法直升机机场-停机坪标志检测训练权重, 包含直升机机场-停机坪标志检测数据集,数据集目录已经配置好,划分好 train,val, test,并附有data.yaml文件,yolov5、yolov7、yolov8,yolov9等算法可以直接进行训练模型,txt格式标签, 数据集和检测结果参考:https://blog.csdn.net/zhiqingAI/article/details/124230743 数据集配置目录结构data.yaml: nc: 1 names: - helipad
GET /hotel/_search { "query": { "multi_match": { "query": "如家", "fields": ["business","name","brand"] } } }
09-10
您好!...查询将会返回包含在`business`,`name`或`brand`字段中包含关键词"如家"的文档。 请注意,这只是一个示例查询,您需要根据您的实际需求进行相应的调整和配置。如果您有其他问题,请随时提问!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值