当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-019335

漏洞标题:爱丽团购给任意用户绑定任意手机

相关厂商:aili.com

漏洞作者: xfkxfk

提交时间:2013-02-28 16:27

修复时间:2013-03-08 16:22

公开时间:2013-03-08 16:22

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-02-28: 细节已通知厂商并且等待厂商处理中
2013-02-28: 厂商已经确认,细节仅向厂商公开
2013-03-08: 厂商提前公开漏洞,细节向公众公开

简要描述:

爱丽团购,由于没有限制用户权限,可以给任意用户绑定到任意手机,解除任意用户已绑定的任意手机号码被比人绑定,而且还修改了用户的账户信息,挺严重的。

详细说明:

测试环境:
攻击者:tester,用户user_id:2856430
受害者:xfkxfk,用户user_id:2837024


0、首先看看我们要攻击的对象xfkxfk是没有绑定手机的:

xfkxfk未绑定手机.jpg


1、我们用tester账户进行手机绑定,在这之前我们先看看他的user_id为2856430。

tester的user_id.jpg


2、现在开始为tester绑定手机号码:

tester绑定手机.jpg


3、截包看看请求数据:

请求的url:http://tuan.27.cn/ajax/sms.php?action=loginmobilebindcheck&mobile=150***9543&user_id=2856430&verifycode=rjpo&r=0.25387939011119365


user_id.jpg


4、修改用户的user_id为2837024后,再发送请求,验证码成功发送到手机上:

.jpg


5、在输入手机验证码是截包,在看到发送的请求中的user_id为我们修改后的xfkxfk的user_id:2837024,这里的手机验证码是716392:

xfkxfk.jpg


漏洞证明:

6、界面上看到成功绑定手机:

xfkxfk.jpg


7、我们来看看用户xfkxfk成功绑定了我们输入的手机号码:

.jpg


而且从用户的账户信息中也能看到用户的联系方式,手机号码编程了我们绑定的手机号码,而且现象被置灰,是不能修改的:

.jpg


8、====================================================
危害:
1、这里我只是那两个用户测试了一下,也用了自己的手机号码,可以为任意用户绑定这个手机号码,而且当我的手机号码被用户A绑定后,还可以被用户B绑定,从而用户A的绑定解除。
2、我也可以使用任意手机号码,因为这里的手机验证码是6位随机数,没有次数和时间限制,太给力了,输入任意手机号码,暴力破解6位验证码太快了。
3、这样一来我们就可以为任意用户绑定任意手机号码了,还能任意解除绑定的号码。
4、还修改了用户的联系方式。
5、危害杠杠的。。。
6、求礼物啊。。。

修复方案:

添加用户权限控制。
设置验证码验证次数。

版权声明:转载请注明来源 xfkxfk@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-02-28 16:41

厂商回复:

惊出一身冷汗!

最新状态:

2013-03-08:已修复!


漏洞评价:

评论

  1. 2013-02-28 17:49 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    惊出一身冷汗!

  2. 2013-03-01 11:35 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    厂商很有爱的样子

  3. 2013-03-08 16:51 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    这种弱智错误很多年前就有......我很多年前就挖出来过这样的漏洞.....

  4. 2013-03-20 09:24 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    厂商挺有意思的

  5. 2013-03-22 21:20 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    。。。6位 爆破真的很快吗??

  6. 2013-03-22 23:15 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    厂商提前公开漏洞,细节向公众公开。发现爱丽网似乎是乌云里最有意思的厂商。很给力哦 @爱丽网

  7. 2014-12-03 23:28 | 胡小树 ( 实习白帽子 | Rank:60 漏洞数:11 | 我是一颗小小树)

    @wefgod 不像有些恶心的厂商,忽略后偷偷修补