当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-065227

漏洞标题:群英网络一分钱购买香港空间

相关厂商:群英网络

漏洞作者: 小震

提交时间:2014-06-17 18:41

修复时间:2014-08-01 18:42

公开时间:2014-08-01 18:42

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-06-17: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-08-01: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

支付控制不严,改下url就可以1分钱购买。。

详细说明:

本来是买了个域名,结果还送一个月的香港空间。
然后客服说。这500M+50mysql的空间一年568..现在五折,仅限三天内续费。
(这么贵我当然不会买..)但是出于好奇点了续费。

3.jpg


结果发现URL是这样的。:
http://host.qycn.com/api_pay/payment_pay_client.php?o_fee=269&o_id=VS_1402975333662680V&tokenkey=ikvIA%252FxwE93eGodSJ3T3WOLXOtIqV0VIdsYye%252F3DNsBIXEjaPS415OnJsB5%252FJBU31iDbxPpf%252BBX%252B10XC6R%252BGpTKOjgxoLOhtZw33M%252F4HnUPKJ8JIOFCpxwwxh0PXX%252BB%252FzdQ3Rf4CEzbqV%252BvcFJWN3q1M%252BF0mYKRf8eV4OiDkdeFVj5yJhKkOIqbA1%252BhuAaQ%252FJrH4b7rOHePdIpvsWvEHTNkViVbuVp4YyzdRya2tyaKLxFr1VPWL%252BFRKKKWqPk6iUaZDIQQ&o_pay_type=1&o_type=1&goods_info=%E9%80%82%E5%90%88%E7%BD%91%E5%BA%97%E3%80%81%E4%B8%93%E4%B8%9A%E8%B5%84%E8%AE%AF%E7%AD%89%E4%B8%AD%E5%B0%8F%E5%9E%8B%E7%BD%91%E7%AB%99&goods_name=%E9%A6%99%E6%B8%AF%E4%BC%81%E4%B8%9AII%E5%9E%8B%2F1%E5%B9%B4&extra_param=12925%2F1%2Ff&time=1402975333
于是。。你看到269了么。,直接秒为0.01,结果发现还是这样的:

.jpg


难道是跟产品id绑定了?于是顺便带着改了o_id这个参数。随便改了个数。
于是。:

.jpg


好吧,支付~
支付之后,支付宝返回的信息,他接收到返回了一个错误。(没截图。)
本以为白费了,但是过了一会,邮件来了。。

.jpg


于是乎,看后台订单状态,已付款。看到期时间,2016...成功,

.jpg


先来个已付款的订单。
改了一个1块钱的跟1分钱的。然后竟然成功了。

222222.jpg

漏洞证明:

本来是买了个域名,结果还送一个月的香港空间。
然后客服说。这500M+50mysql的空间一年568..现在五折,仅限三天内续费。
(这么贵我当然不会买..)但是出于好奇点了续费。

3.jpg


结果发现URL是这样的。:
http://host.qycn.com/api_pay/payment_pay_client.php?o_fee=269&o_id=VS_1402975333662680V&tokenkey=ikvIA%252FxwE93eGodSJ3T3WOLXOtIqV0VIdsYye%252F3DNsBIXEjaPS415OnJsB5%252FJBU31iDbxPpf%252BBX%252B10XC6R%252BGpTKOjgxoLOhtZw33M%252F4HnUPKJ8JIOFCpxwwxh0PXX%252BB%252FzdQ3Rf4CEzbqV%252BvcFJWN3q1M%252BF0mYKRf8eV4OiDkdeFVj5yJhKkOIqbA1%252BhuAaQ%252FJrH4b7rOHePdIpvsWvEHTNkViVbuVp4YyzdRya2tyaKLxFr1VPWL%252BFRKKKWqPk6iUaZDIQQ&o_pay_type=1&o_type=1&goods_info=%E9%80%82%E5%90%88%E7%BD%91%E5%BA%97%E3%80%81%E4%B8%93%E4%B8%9A%E8%B5%84%E8%AE%AF%E7%AD%89%E4%B8%AD%E5%B0%8F%E5%9E%8B%E7%BD%91%E7%AB%99&goods_name=%E9%A6%99%E6%B8%AF%E4%BC%81%E4%B8%9AII%E5%9E%8B%2F1%E5%B9%B4&extra_param=12925%2F1%2Ff&time=1402975333
于是。。你看到269了么。,直接秒为0.01,结果发现还是这样的:

.jpg


难道是跟产品id绑定了?于是顺便带着改了o_id这个参数。随便改了个数。
于是。:

.jpg


好吧,支付~
支付之后,支付宝返回的信息,他接收到返回了一个错误。(没截图。)
本以为白费了,但是过了一会,邮件来了。。

.jpg


于是乎,看后台订单状态,已付款。看到期时间,2016...成功,

.jpg


先来个已付款的订单。
改了一个1块钱的跟1分钱的。然后竟然成功了。

222222.jpg

修复方案:

你们比我懂。
顺便这个空间还要删除么。。。

版权声明:转载请注明来源 小震@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论

  1. 2014-06-17 20:31 | 小震 ( 路人 | Rank:8 漏洞数:3 | ~)

    空间时间恢复原状,客服给了我2块钱。。

  2. 2014-08-08 22:07 | 小指头 ( 实习白帽子 | Rank:97 漏洞数:19 | 不想当大拇指的小指头,不是个好手。)

    好有意义!

  3. 2014-08-09 09:33 | 小震 ( 路人 | Rank:8 漏洞数:3 | ~)

    @小指头 ...第一个篡改URL就可以实现的= = 太简单了。。

  4. 2014-10-11 09:38 | 机器猫 ( 普通白帽子 | Rank:1141 漏洞数:253 | 爱生活、爱腾讯、爱网络!)

    有这种事情,改个url就行。。。坑爹啊

  5. 2014-10-11 10:10 | 小震 ( 路人 | Rank:8 漏洞数:3 | ~)

    @机器猫 是哦- -

  6. 2015-01-23 13:01 | 蛇精病 ( 路人 | Rank:23 漏洞数:10 | 你连棒棒糖都没有,还谈什么狗屁爱情?)

    垃圾厂商 忽略 然后默默修复