当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-032115

漏洞标题:看我如何重置篱笆网任意账户密码(秒改)

相关厂商:篱笆网

漏洞作者: xfkxfk

提交时间:2013-07-24 16:20

修复时间:2013-09-07 16:20

公开时间:2013-09-07 16:20

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-07-24: 细节已通知厂商并且等待厂商处理中
2013-07-25: 厂商已经确认,细节仅向厂商公开
2013-08-04: 细节向核心白帽子及相关领域专家公开
2013-08-14: 细节向普通白帽子公开
2013-08-24: 细节向实习白帽子公开
2013-09-07: 细节向公众公开

简要描述:

看我如何重置篱笆网任意账户密码(秒改)

详细说明:

先注册两个用户xfkxfk,testertester
然后找回密码

1.png


选择通过邮箱找回

2.png


看看重置密码的链接

3.png


我们输入新密码然后抓包

4.png


因为这里我们重置的是xfkxfk的密码,看看xfkxfk的user_ID

b.png


下面是重置xfkxfk的请求信息

5.png


我们把来看看受害者testertester的user_ID

a.png


然后我们把重置xfkxfk密码的请求中uid=7540861,referer中的uid换成testertester的uid=7540883,把user_name也换成testertester,最不应该的是这里的code却没起作用,但是code的键值还是必须存在,值为32位任意值。
然后来重置testertester的密码:

6.png


从返回信息中成功重置了testertester的密码。

漏洞证明:

因为我们可以访问任意用户的空间:

http://i.liba.com/7540861


这是xfkxfk的空间,只要我们变换http://i.liba.com/后面的这个uid就能访问到任意用户空间,从而得到用户的uid和user_name,下面我们随便找一个用户uid=1的会员:

7.png


8.png

修复方案:

1、不要把验证code放到referer里面啊!
2、及时放到referer里面也要验证一下这个code的值是否正确唯一啊!

版权声明:转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-07-25 09:20

厂商回复:

已修复

最新状态:

暂无

漏洞评价:

评论

  1. 2013-07-24 16:21 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    新来的厂商不容易啊

  2. 2013-07-24 16:23 | xfkxfk 认证白帽子 ( 核心白帽子 | Rank:2179 漏洞数:338 | 呵呵!)

    @篱笆网 不好意思,为了验证漏洞,我改了一个账户的密码,但是没做任何操作,敏感信息也打码了,谢谢

  3. 2013-07-24 16:23 | xfkxfk 认证白帽子 ( 核心白帽子 | Rank:2179 漏洞数:338 | 呵呵!)

    @M4sk 嗯,相当不容易啊,都是先苦后甜的嘛

  4. 2013-07-24 16:24 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    我来了,走了。

  5. 2013-07-24 16:27 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    我也测试成功了,进入了admin帐号

  6. 2013-07-24 16:28 | 淡漠天空 认证白帽子 ( 实习白帽子 | Rank:1113 漏洞数:142 | M:出售GOV STATE NSA CIA NASA DHS Symant...)

    脱裤ing

  7. 2013-07-24 16:34 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    你们太坏了。

  8. 2013-07-24 16:57 | 小痞子 ( 普通白帽子 | Rank:106 漏洞数:21 | <xss>alert("a")</xss>¥&@&……dssKhwjcw...)

    不许动 举起鸟来!

  9. 2013-07-24 16:57 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    = =# 终于测试成功了。。。

  10. 2013-07-24 17:02 | xfkxfk 认证白帽子 ( 核心白帽子 | Rank:2179 漏洞数:338 | 呵呵!)

    @VIP @淡漠天空 @Coody 你们太坏了,厂商都哭了,积点德行不行

  11. 2013-07-24 17:03 | Love ( 路人 | Rank:0 漏洞数:1 | 学习)

    彭拜

  12. 2013-07-24 17:04 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    @VIP 谁说测试admin账户了???现在都禁用了。。。。@xfkxfk 其实就是你标题中“秒改”吸引了我,,,,

  13. 2013-07-24 18:27 | 钝刀的老王 ( 路人 | Rank:2 漏洞数:2 | 挑水,你桶漏的;扫地,你扫不干净;刀钝了...)

    @M4sk 很别催啊。。。。新厂商我带来的,结果我提交的漏洞被雪藏。。。

  14. 2013-07-24 19:41 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    @钝刀的老王 厂商不要哭 ~

  15. 2013-07-24 21:15 | xfkxfk 认证白帽子 ( 核心白帽子 | Rank:2179 漏洞数:338 | 呵呵!)

    @钝刀的老王 @Coody @篱笆网 怎么厂商还不来认领咧。。。

  16. 2013-07-24 23:36 | ling ( 实习白帽子 | Rank:76 漏洞数:35 | 我是屌丝、我为自己代言 。)

    @xfkxfk 思路是什么

  17. 2013-07-25 08:19 | B1acken ( 普通白帽子 | Rank:174 漏洞数:56 | 渣渣)

    @xfkxfk 亲怎么秒改,求方法,求交流

  18. 2013-07-25 08:48 | xfkxfk 认证白帽子 ( 核心白帽子 | Rank:2179 漏洞数:338 | 呵呵!)

    @B1acken @ling 等厂商认领了再说吧,可以自己测试一下

  19. 2013-07-28 23:57 | 佩佩 ( 实习白帽子 | Rank:62 漏洞数:8 | 一个热衷于网络安全的白帽子,具有很强的逻...)

    @xfkxfk 这个洞封没... 没封去测试下的说

  20. 2013-07-29 08:59 | xfkxfk 认证白帽子 ( 核心白帽子 | Rank:2179 漏洞数:338 | 呵呵!)

    @佩佩 厂商回复:已修复