盛大旗下有妖气漫画网某分站任意用户密码修改漏洞

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-037115

漏洞标题：盛大旗下有妖气漫画网某分站任意用户密码修改漏洞

漏洞作者： zer0

提交时间：2013-09-18 17:14

修复时间：2013-09-23 17:14

公开时间：2013-09-23 17:14

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-09-18：细节已通知厂商并且等待厂商处理中
2013-09-23：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

help.u17.com采用HDWiki，而这套系统存在重置密码存在一处逻辑漏洞，导致攻击者可以修改任意用户密码。

详细说明：

control/user.php
	function dogetpass(){
        ......
		}elseif(isset($this->post['verifystring'])){
			$uid=$this->post['uid'];
			$encryptstring=$this->post['verifystring'];
			$idstring=$_ENV['user']->get_idstring_by_uid($uid,$this->time);
			if($idstring==$encryptstring){
                       //没考虑到提交为空与查询返回为空的情况，一个逻辑错误
				$newpass = $this->post['password'];
				$renewpass = $this->post['repassword'];
				$error=$_ENV['user']->checkpassword($newpass,$renewpass);
				if($error=='OK'){
					//eval($this->plugin["ucenter"]["hooks"]["getpass"]);
					UC_OPEN && $msg=$_ENV['ucenter']->getpass($uid,$newpass);
					$_ENV['user']->update_field('password',md5($newpass),$uid);
					$_ENV['user']->update_getpass($uid);
					$this->message($this->view->lang['resetPassSucess'],'index.php?user-login',0);
				}else{
				  $this->message($error,'BACK',0);
				}
			}else{
				$this->message($this->view->lang['resetPassMessage'], WIKI_URL ,0);
			}
		}
	function  get_idstring_by_uid($uid,$time){  //取验证码
		return $this->db->result_first("SELECT code FROM ".DB_TABLEPRE."activation WHERE uid=$uid AND available=1  AND type=1 AND time>($time-3*24*3600) ORDER BY time DESC");
	}

漏洞证明：

http://help.u17.com/index.php?user-getpass-uid
正常情况应该是这样，user-getpass-1-xxx，但是因为逻辑问题，可以绕过去。
通过uid得到账号名：
http://help.u17.com/index.php?list-popularity-1

修复方案：

control/user.php文件
}elseif(isset($this->post['verifystring'])){
$uid=$this->post['uid'];
$encryptstring=$this->post['verifystring'];
$idstring=$_ENV['user']->get_idstring_by_uid($uid,$this->time);
/* 加入下面两行代码，判断一下空的情况 */
if(empty($encryptstring) || empty($idstring)){
$this->message($error,'BACK',0);
}
或者升级至官方最新版本：
http://kaiyuan.hudong.com/

版权声明：转载请注明来源 zer0@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2013-09-23 17:14

厂商回复：

漏洞评价：

2013-09-23 19:26 | only_guest ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)

呵呵。又是这套啊。 WooYun: 盛大旗下有妖气漫画网任意用户密码修改我之前发的有妖气主站的任意密码修改。也直接忽略了。我问原因，也告诉我说是放假没看到。盛大福利真好。天天放假。
2013-09-23 20:52 | softbug ( 实习白帽子 | Rank:66 漏洞数:10 | 为人类设计最好的软件，解放人的双手,一起...)

是的，你这个事情属于小事情，你修改密码，别人就把密码改回去。又不影响别人总体收入。
2013-09-23 20:55 | 艾特绅 ( 路人 | Rank:21 漏洞数:5 | 愿意为网络安全做出我的贡献)

有影响啊有影响。。。没忽略啊没忽略。
2013-09-25 17:24 | zer0 ( 实习白帽子 | Rank:35 漏洞数:5 | no~)

啊

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-037115

漏洞标题：盛大旗下有妖气漫画网某分站任意用户密码修改漏洞

相关厂商：盛大网络

漏洞作者： zer0

提交时间：2013-09-18 17:14

修复时间：2013-09-23 17:14

公开时间：2013-09-23 17:14

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 zer0@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-037115

漏洞标题：盛大旗下有妖气漫画网某分站任意用户密码修改漏洞

相关厂商：盛大网络

漏洞作者： zer0

提交时间：2013-09-18 17:14

修复时间：2013-09-23 17:14

公开时间：2013-09-23 17:14

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-037115"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 zer0@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：