漏洞概要
关注数(24)
关注此漏洞
漏洞标题:麦考林任意妹纸密码重置漏洞(非暴力)
提交时间:2013-01-15 11:00
修复时间:2013-01-20 11:01
公开时间:2013-01-20 11:01
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2013-01-15: 细节已通知厂商并且等待厂商处理中
2013-01-20: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
看你们前面好多洞洞都忽略了,哎,只为跟到 @风萧萧 凑热闹,收不收是你们的事情!
详细说明:
1)前面有两位基友发了麦考林的密码重置逻辑设计问题,我情不自禁也看了下;注册一个用户,来到密码重置功能发现可通过用户名或者邮箱找回密码;
2)输入用户名点击确认,发现可通过两种方式找回密码:注册邮箱(直接发送)、绑定手机(需填写注册手机号码),这里我们选择通过注册邮箱方式;
3)登陆对应邮箱查收系统发送的密码重置链接;
4)我们发现密码重置链接看上去貌似“滴水不漏”,有重置密钥“p1”、与之相对应的邮件帐号“p2”;作为一个wooyun白帽子,我们都不相信所谓的滴水不漏,于是重新使用密码重置功能并抓包分析;
5)分析发现在这个密码重置过程中,系统似乎交互了一些不明数据,这些数据是干什么的呢,于是再次查看邮箱第二次收到的密码重置连接,将两次收到的密码重置链接进行对比,发现两次收到的密码重置链接是一样的;
6)抓包截获到的系统交互数据:
7)收到系统发送的密码重置链接:
8)亲,告诉我你发现什么了?是的,截获到的数据包中"decrypt_custno"参数正是我们的密码重置密钥,而且同一用户的密码重置密钥还是固定不变的;
9)好吧,我不会告诉你,其实密码重置链接中的"p2"参数是毫无意义的,直接使用密钥即可重置密码-_-||
10)这里以剑心妹纸的帐号为例子,给大家演示下;
10.1)直接来到邮件发送环节;
10.2)点击发送邮件并抓包,哈哈,这里就不马赛克了;
10.3)有了密钥就直接构造链接链接重置剑心妹纸的帐号咯;
10.4)就这样把剑心妹纸征服 :)
11)最后,小结下:只要知道用户名(这个是公开的),即可使用邮箱重置密码功能抓包截获对应账户的密码重置密钥,进行密码重置(不需要知道邮箱帐号);且该密钥固定不变,相当于变向长期控制用户账户!!!
漏洞证明:
修复方案:
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2013-01-20 11:01
厂商回复:
最新状态:
暂无
漏洞评价:
评论
-
2013-01-15 11:04 |
小胖胖要减肥 
( 普通白帽子 | Rank:686 漏洞数:101 )
-
2013-01-15 11:11 |
梦想肥羊 ( 实习白帽子 | Rank:89 漏洞数:18 | 博客:dnswalk.blog.163.com)
@小胖胖要减肥 ....................这个好像以前有这样的例子....负责乌云的人离职了...
-
2013-01-15 11:19 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )
@小胖胖要减肥 擦,还有这样的事情,我还有他们的洞没上架呢...
-
2013-01-15 11:22 |
小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )
@se55i0n 基友你也在wooyun那么久了 所以有些严重的还是别提了,毕竟公开了对别人公司不好,这个问题也和剑心说过,很难搞,不能搞特例 以后尽量强制邮件组吧
-
2013-01-15 11:25 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )
-
2013-01-15 11:49 |
小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )
@se55i0n 反正下次自己可以选择性提交,一是提交了也没rank,二对厂商也不好,不过可以提交给我的
-
2013-01-15 12:11 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2013-01-15 12:12 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2013-01-15 12:25 |
小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )
@xsser 可以搞个邮件提示用邮件组注册,应该很多账号还是单个邮件注册的,所以上面不是说选择性么,比如一些和钱有关的被公开总归不好吧
-
2013-01-15 12:27 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
@小胖胖要减肥 用户会怎么想 漏洞绝对不只是厂商自己的事情 万网这次导致乌云的dns被篡改,因为影响不好要不公开么?
-
2013-01-15 12:33 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )
-
2013-01-15 12:33 |
小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )
@xsser 我是觉得影响严重的漏洞被利用厂商还不知情这个事情难搞,这个解决了就好了,比如春节放假,正好一批新漏洞被审核,怎么搞
-
2013-01-15 12:52 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
@小胖胖要减肥 目前已经有rss和邮件的通知方式,再会添加短信通知功能;另外乌云漏洞是45天公开,对于春节完全足够了
-
2013-01-15 12:53 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )
@xsser @小胖胖要减肥 你们公司来赞助个短信提醒,话说上回拿了个服务器就是个短信平台,,,但是不敢拿给wooyun用呀,,,
-
2013-01-15 12:55 |
px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)
@xsser 那个rss怎么点了没效果。。不管用哦、
-
2013-01-15 12:57 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2013-01-15 12:58 |
小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )
@xsser 不是哇 已注册厂商的,放假的漏洞怎么处理哇
-
2013-01-15 12:58 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2013-01-15 12:58 |
小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )
@se55i0n 擦 我走不做安全的你跟我说有毛线用啊,一个爱好者,只能当你的基友
-
2013-01-15 13:00 |
小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )
@xsser 不是啊,如果厂商注册的人不上wooyun点击确认5天就公开了啊,之前说过这个问题的,其实很多人还是只收邮件不会主动上wooyun的,放假了基本都不收邮件了
-
2013-01-15 13:01 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2013-01-15 13:02 |
小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )
@xsser 恩 我也知道 上次说过了,反正关键对wooyun不会造成影响就好,我只是个来学习的
-
2013-01-15 13:07 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )
@小胖胖要减肥 哎,我有近30个洞子没有厂商认领,现在只发注册了的厂商的洞子,态度不好的也不发,浪费精力,没有rank,公开了还可能被恶意利用...
-
2013-01-15 13:11 |
小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )
-
2013-01-15 13:18 |
px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)
@xsser 我点那个玩意,直接就下载了。。莫非是浏览器的问题。。。
-
2013-01-15 23:10 |
齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)
wooyun.org/bugs/wooyun-2012-014840是这个吗?
-
2013-01-15 23:19 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )
-
2013-01-18 15:13 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )
@小胖胖要减肥 尼玛,这洞肯定要直接公开了,,,你们可以随便去搞麦考林了,,,
-
2013-01-18 15:16 |
小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )
@se55i0n 上次那个爆破估计都还没补 你这些天也求了很多礼物了
-
2013-01-18 15:56 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )
@小胖胖要减肥 关键是哥又白幸苦了,rank又没了,剑心他们好久都没补过rank咯,,,
-
2013-01-18 16:01 |
小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:101 )
@se55i0n 我也是被忽略很多的,你明显现在有点刷iphone5的感觉,哈哈,这个月再拿个100?
-
2013-01-18 16:04 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )
-
2013-01-19 21:30 |
风萧萧 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)
@se55i0n @小胖胖要减肥 你两一对好基友啊
-
2013-01-19 23:15 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )
-
2013-01-20 13:50 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )
-
2013-01-20 13:54 |
风萧萧 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)
@se55i0n 呵呵.我是麦考林的测试..你提的bug.我们老早就知道了..不过麦考林都关门了.也不用去理会了..所有用户账号都卖给棒子公司了
-
2013-01-20 13:54 |
冷静 ( 路人 | Rank:3 漏洞数:2 )
@se55i0n 其实密码重置链接中的"p2"参数是毫无意义的,直接使用密钥即可重置密码.这个你是凭感觉测试的?还是有这样的其他例子啊?觉得太不可思议了
-
2013-01-20 14:03 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )
-
2013-01-20 14:06 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )
@风萧萧 哎,真不该报有侥幸的心理呀,我心想万一要是领了呢 @xsser 连续三个严重漏洞都直接忽略了,这样的厂商,,,
-
2013-01-20 15:29 |
px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)
@se55i0n 。。。正常,大众点评我也找了几个洞,去看了下那个厂商也是老忽略,所以也就懒得去提交了、、、
-
2013-01-20 16:04 |
se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )
@px1624 我现在发洞就看厂商的态度咯,态度不好就自己留着玩呗~哈哈
-
2013-01-21 12:47 |
梦想肥羊 ( 实习白帽子 | Rank:89 漏洞数:18 | 博客:dnswalk.blog.163.com)
-
2013-01-24 17:04 |
horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)
-
2013-03-18 13:02 |
possible ( 普通白帽子 | Rank:373 漏洞数:32 | everything is possible!)
