当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-028706

漏洞标题:咕咚运动应用设计缺陷以及XSS

相关厂商:咕咚网

漏洞作者: imlonghao

提交时间:2013-07-16 16:16

修复时间:2013-08-30 16:16

公开时间:2013-08-30 16:16

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-07-16: 细节已通知厂商并且等待厂商处理中
2013-07-17: 厂商已经确认,细节仅向厂商公开
2013-07-27: 细节向核心白帽子及相关领域专家公开
2013-08-06: 细节向普通白帽子公开
2013-08-16: 细节向实习白帽子公开
2013-08-30: 细节向公众公开

简要描述:

咕咚网是由成都乐动信息技术有限公司创立的将运动与网络结合,分享运动快乐的新社区,倡导运动,环保,有趣,简单,持续。被誉为运动者的facebook。成都乐动是一家基于互联网技术个人电子产品研发、生产、销售并提供对应网络社区服务和娱乐产品的高科技企业,已经完成致力于健身追踪器的硬件研发生产销售和“咕咚网”平台的开发与运营。无线心率表,网络瘦身秤等全新的网络健身产品也将在2011年面世。咕咚网已经获得多项新型专利和外观专利,并获得“2010年度中国中小企业创新基金”。
手机上装了咕咚运动,看到配件都很贵,于是就电脑上官网了,没想到...........
DNSPod付费用户,就用域名提交了

详细说明:

Part1:已知EMAIL/手机号任意密码修改
找回密码接口处,提交一个通过EMAIL或者手机号的密码重置申请后,系统会给发送一个4位的验证码(仅在EMAIL处测试,没有手机测试不了手机),然后通过这个4位的验证码即可找回用户密码。
而找回密码的接口中,只检查了email以及验证码是否正确,没有检查其他随机参数是否正确,同时,系统不限制次数的尝试验证码是否正确。
因此,只有我们知道了用户的EMAIL或者手机,就可以通过穷举的方式来修改用户的密码。
4位数哦...
------------------------------------------------
Part2:已知用户名任意密码修改(建议先看Part3.4)
通过Part3,4的漏洞结合,通过xss提交web请求要求绑定手机,并获取验证码,并再次提交成功修改为我们的手机,手机收到短信后,就可以通过官方接口来通过手机号来找回密码
------------------------------------------------
Part3:私信处XSS漏洞
在发送私信给别人的过程中,未对私信的内容进行过滤,导致在发送私信给别人的时候可以插入xss代码来对用户进行下一步的操作!
------------------------------------------------
Part4:任意手机绑定
绑定手机过程如下:输入号码——发送号码——返回发送成功,并且附带验证码——输入验证码——验证成功!
而这一过程,就是不科学的,返回成功为什么要附带上发送的验证码呢?
------------------------------------------------

漏洞证明:

Part1:已知EMAIL/手机号任意密码修改
在官方找回密码通过EMAIL找回,你会收到这样一封邮件

1.png


红码的部分就是4为的验证码,这里假设我们不知道这4个数字
随便访问一个验证码,会出现这种页面

http://www.codoon.com/verify_email?email=[EMAIL]&code=[4位码]


2.png


导入进行破解

3.png


1000-9999只有9000个可能,很快就可以破完
成功的验证码的回包是一个302的请求,很容易分辨出来

4.png


然后通过我们就可以找回用户的密码了!

5.png


6.png


------------------------------------------------
Part2:已知用户名任意密码修改(建议先看Part3.4)
这part比较理论..技术不精,还请包含!
分为两个部分:构造代码——等待上线
构造:
修改的过程就是:
发送验证码

POST http://www.codoon.com/user/send_verify_sms HTTP/1.1
mobile=12345679812


回包

{"info": "[六位验证码]", "rs": true}


通过这个验证码就可以再次发包修改手机号
------------------------------------------------
Part3:私信处XSS漏洞
给任意人发送一封私信,同时在内容中直接插入XSS代码

10.png


发送,乓的一声!就被X了。

11.png


尝试性地给一个客服发了私信,简单修改自己的sessionid,即可登陆

set-cookie: sessionid=***************


12.png


同时,这是一个云服务,就可以看到用户之前的运动轨迹,通过都是从家出发!

13.png


------------------------------------------------
Part4:任意手机绑定
不论是之前有无绑定,均可以使用此方法。
启动Fiddler2抓包,提交一个手机号,发送验证码

7.png


回到Fiddler2,我们发现发送验证码的包中服务器回复了JSON数据,其中的info就记录了刚刚发送的验证码

8.png


通过这个验证码,就可以成功绑定手机!

9.png


然后我们就可以知道妹子的家了!
------------------------------------------------

修复方案:

首先赞一赞厂商,在我编辑漏洞的时候就补了任意手机绑定 - -;;;
本来还想截个修改手机号的包的,没截下来!!!
作为一个“云”厂商,安全十分重要,比可以想你的合作伙伴tower学习,参与乌云众测,可以联系root@wooyun.org
Part1:已知EMAIL/手机号任意密码修改
加强验证码,最好为16为字母+数字
限制一个验证码的尝试次数
------------------------------------------------
Part3:私信处XSS漏洞
过滤不合法的参数
全局httponly!!!
------------------------------------------------
Part4:任意手机绑定
就像现在这样修复即可!
------------------------------------------------

版权声明:转载请注明来源 imlonghao@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2013-07-17 16:15

厂商回复:

谢谢,修复中.....

最新状态:

暂无


漏洞评价:

评论

  1. 2013-07-12 18:32 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    求咕咚手环!!!!

  2. 2013-07-17 10:28 | none ( 实习白帽子 | Rank:40 漏洞数:5 | 十次十次啊 hack it then know more~)

    同求咕咚手环!!!!

  3. 2013-07-19 17:50 | ling ( 实习白帽子 | Rank:76 漏洞数:35 | 我是屌丝、我为自己代言 。)

    @imlonghao 这家伙在自言自语