当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-018405

漏洞标题:寺库网(SECOO)重置任意用户密码

相关厂商:寺库中国

漏洞作者: xfkxfk

提交时间:2013-02-07 15:14

修复时间:2013-03-24 15:14

公开时间:2013-03-24 15:14

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-02-07: 细节已通知厂商并且等待厂商处理中
2013-02-07: 厂商已经确认,细节仅向厂商公开
2013-02-17: 细节向核心白帽子及相关领域专家公开
2013-02-27: 细节向普通白帽子公开
2013-03-09: 细节向实习白帽子公开
2013-03-24: 细节向公众公开

简要描述:

寺库网(SECOO)——寺库是目前国内规模最大、品类最全的高端奢侈品折扣平台。
可以重置任意用户密码哦,还是挺危险的,请厂商尽快修复。。。

详细说明:

1.进入寺库网的账号登陆页面:http://www.secoo.com/loreg/page/tologin
当然我们这里不登陆,而是点击【忘记密码?】按钮,进入密码重置流程:

.jpg


2.注册过的用户会进行手机验证和邮箱验证,通过上述两种验证的用户才能进行密码找回。
填写需要重置的账号,用户名、手机号码、邮箱都可以。
由于只是测试漏洞存在,这里只用了我自己的账号:

.jpg


3.点击下一步,然后再单击获取验证码,此时已经给我的手机号发送了重置密码的短信验证码了。

.jpg

漏洞证明:

5.查看手机收到的短信码为【719122】,我首先输入任意的6位纯数字短信码719121,点击提交,则返回错误,验证码无效。
记得此时设置好浏览器代理:同时,看到的抓包请求为:

.jpg


上面的参数mobileCode=§123456§,这里的123456就是我们随便输入的错误验证码。
6.写了那么多,开始吧:设置好参数mobileCode为需要爆破的参数,开始暴力猜测,这里由于是测试我从718122——720122进行测试:

payload.jpg


7.通过返回的字节数或者返回的内容得出正确的短信码:

a、短信码错误时,返回的字节数为260,而短信码正确时字节数为212,很明显啦!
b、短信码错误时返回的内容为:{"errcode":"404","error":"éa?èˉ????è????¥é??èˉˉ","recode":1};
而短信码正确时返回内容为:{"recode":0}


错误返回结果:

.jpg


正确翻译结果:

.jpg


这里成功破解到正确验证码719122
8.那么使用爆破完的短信码重置账号吧!

.jpg


9.成功重置密码:

.jpg

修复方案:

1、这里6位纯数字短信码的爆破,即平均50万次的请求,我使用了burpsuite测试单台机器50个线程,1分钟可以跑1万个payload,
这样每50分钟,一小时不到即可重置任意一个手机账号!而这里的设置是手机验证码有效期2个小时,足够了,还是很危险啊!
2、短信码可以为5位、甚至4位纯数字;可以不设置图片验证码;甚至可以不用设置短信码的2个小时有效期。
但是为什么不设置连续几次尝试失败就锁定本次密码重置的请求呢?
3、求rank,求礼物,求修复!
4、谢谢

版权声明:转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2013-02-07 18:43

厂商回复:

非常感谢

最新状态:

暂无

漏洞评价:

评论