当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-048458

漏洞标题:万达集团万汇网任意用户密码重置漏洞Ⅱ(爆破)

相关厂商:大连万达集团股份有限公司

漏洞作者: se55i0n

提交时间:2014-01-10 12:01

修复时间:2014-02-24 12:02

公开时间:2014-02-24 12:02

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-01-10: 细节已通知厂商并且等待厂商处理中
2014-01-10: 厂商已经确认,细节仅向厂商公开
2014-01-20: 细节向核心白帽子及相关领域专家公开
2014-01-30: 细节向普通白帽子公开
2014-02-09: 细节向实习白帽子公开
2014-02-24: 细节向公众公开

简要描述:

RT

详细说明:

今天不小心看到你们web上添加了密码找回功能,简单测试了下,发现了下面的问题~
1)首先,在web页面使用手机找回密码功能;

4.png


2)获取验证码后发现还是6位纯数字,未限制校验错误次数,无有效期限制;

POST /ajax/account/forgetpassword/verifytel HTTP/1.1
Host: passport.wanhui.cn
User-Agent: Mozilla/5.0 
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: https://passport.wanhui.cn/account/forgetpassword/step1/?wpid=1000292
Content-Length: 40
Cookie: WPID=1000292; SESSIONID=e725c59e5xxxxxxxxxxxx7650bd
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
tel=13800138000&verification_code=123456


3)对参数verification_code进行暴力破解;

2.png


4)在获取到真实验证码后,发现返回页面填入真实验证码无法进入下一步操作,而会提示“验证码错误”。

6.png


5)还是同样的思路,自己完整的重现一遍过程并抓包分析过程。经过分析在直接填入真实验证码进行下一步操作的过程中,并没有生成其他的验证凭证,也就是说整个过程仅仅校验了验证码,而校验了验证码之后则直接进入了下一步的密码重置页面,链接如下:

https://passport.wanhui.cn/account/forgetpassword/step2/?wpid=1000292


6)整个过程一下就清晰了,只要验证码校验成功就能进入密码重置页面(见上),也就是说当我们暴力破解到真实验证码之后,直接就可以访问密码重置页面重置用户密码;

3.png


7)填入想要重置的密码即可完成,然后使用新密码登陆用户帐号;

5.png

漏洞证明:

见详细说明

修复方案:

限制校验错误次数

版权声明:转载请注明来源 se55i0n@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-01-10 13:16

厂商回复:

感谢se55i0n同学的关注与贡献!该漏洞目测存在,马上通知业务部门整改。谢谢!

最新状态:

暂无

漏洞评价:

评论

  1. 2014-01-10 12:19 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @xsser 又小厂商,你没发现这不是一般意义的爆破么:(

  2. 2014-01-10 12:20 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @se55i0n 6位数

  3. 2014-01-10 12:20 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @xsser 你没仔细看内容呀,

  4. 2014-01-10 12:24 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @se55i0n 难道不是?

  5. 2014-01-10 12:27 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @xsser 是暴爆了验证码,但是这不是重点呀~见4)和5)呀

  6. 2014-01-10 12:30 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @se55i0n 几位数的验证码?

  7. 2014-01-10 12:39 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @xsser 我去,审核了...你就看不了详情了?

  8. 2014-01-10 21:55 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    楼上两位好欢乐

  9. 2014-01-11 11:00 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @风萧萧 过年刷点WB不容易呀:)

  10. 2014-02-09 14:58 | TestRoot ( 普通白帽子 | Rank:101 漏洞数:19 | sys)

    @xsser 为什么万达算小厂商

  11. 2014-02-23 16:15 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

    @se55i0n 就是说只要挂着机器在哪里爆破就好了,然后等他完了就直接可以访问重置界面了?