当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0100653

漏洞标题:乐彩网重置任意用户密码漏洞

相关厂商:乐彩网

漏洞作者: 恋锋

提交时间:2015-03-11 14:25

修复时间:2015-03-16 14:26

公开时间:2015-03-16 14:26

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-11: 细节已通知厂商并且等待厂商处理中
2015-03-16: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

乐彩网于2004年成立,服务我国公益彩票事业,存在重置任意用户密码漏洞,影响整个系统账户业务安全,危害还是蛮大的,希望给个高rank!!!

详细说明:

1、测试时发现在校验短信码处存在绕过漏洞,导致可轻易重置任意账号密码。
2、首先使用已知手机号进行一次正常的找回密码操作,记录短信码成功通过验证时返回的响应包,如下:

HTTP/1.1 200 OK
Server: nginx
Date: Wed, 11 Mar 2015 04:33:51 GMT
Content-Type: text/html; charset=utf-8
Connection: keep-alive
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Pragma: no-cache
Cache-control: private
X-Powered-By: ThinkPHP
Content-Length: 6298
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>设置新密码 - 忘记密码 - 乐彩网 - 原创+专业+人气旺,踏实服务我国彩票公益事业(原网址www.17500.net被盗,请当心受骗)</title>
<link rel="stylesheet" type="text/css" media="all" href="https://passport.17500.cn/Public/Common/css/reset.css?20150104" />
<link rel="stylesheet" type="text/css" media="all" href="https://passport.17500.cn/Public/Common/css/common.css?20150104" />
<link rel="stylesheet" type="text/css" media="all" href="https://passport.17500.cn/Public/User/css/user.css?20150104" />
<link rel="stylesheet" type="text/css" media="all" href="https://passport.17500.cn/Public/User/css/index.css?20150104" />
<script src="https://passport.17500.cn/Public/Common/js/jquery.min.js?20150104"></script>
<script src="https://passport.17500.cn/Public/Common/js/common.js?20150104"></script>
<script src="https://passport.17500.cn/Public/User/js/user.js?20150104" charset="utf-8"></script>
</head>
<body><div id="header">
<em>
<a href="http://www.17500.cn" target="_blank">乐彩网首页</a>&nbsp;|&nbsp; <a href="http://bbs.17500.cn" target="_blank">乐彩论坛</a>&nbsp;|&nbsp; <a href="http://lebi.17500.cn" target="_blank">乐币点播</a>&nbsp;|&nbsp; <a href="http://sp.17500.cn" target="_blank">短信点播</a>&nbsp;|&nbsp; <a href="http://tb.tuganjue.com" target="_blank">图感觉图表</a>&nbsp;|&nbsp; <a href="http://taihu.17500.cn" target="_blank">太湖钓叟字谜</a> </em>
<a href="https://passport.17500.cn/index/index.html" id="logo">乐彩网</a>
<b>忘记密码</b>
</div><div id="section">
<div class="register fixed">
<div class="l">
<form action="https://passport.17500.cn/forgot/step2.html" method="POST" onsubmit="return user.forgot.submitchk2()">
<ul id="forgot_form">
<div class="fi">
<p class="t">正在操作的手机号为:<b>13828840869</b></p>
<p class="c">请在以下选项中选择要找回密码的用户名</p>
<p class="b">
<label for="uid_1246317" class="on" onclick="user.common.selectUser(this)">
<i><input type="radio" id="uid_1246317" name="uid" value="1246317" checked="true" /></i>
kevin219 </label> </p>
</div>
<li>
<input name="pwd" class="txtin tw3 i2" type="text" value="密码" readonly="readonly" />
<input name="password" class="txtin tw3 i2" type="password" style="display: none;" />
<p class="ti">请重新设置一个复杂的密码!</p>
</li>
<li>
<input name="pwd2" class="txtin tw3 i5" type="text" value="重复密码" readonly="readonly" />
<input name="password2" class="txtin tw3 i5" type="password" style="display: none;" />
<p class="ti">请再输入一次您刚刚设置的密码!</p>
</li>
<li>
<em class="yz fr">
<img id="verify_code" src="https://passport.17500.cn/code/index/rand/4703.html" onclick="user.common.changeverify(this)" />
</em>
<input name="verify" class="txtin tw4 i3" type="text" autocomplete="off" value="验证码" />
<p class="ti">请填写右边图片中的验证码!</p>
</li>
<li>
<label for="resetsecquess" class="twn">
清空安全提问
<input type="checkbox" name="resetsecquess" id="resetsecquess" value="1" style="height:0; overflow:hidden; border:0; width: 0;"/>
</label>
</li>
<li><input name="submit" type="submit" class="inb" value="提&nbsp;&nbsp;交" /></li>
</ul>
</form>
</div>
<div class="r">
<p class="fg2"><b>联系我们</b></p>
<div class="hz3">
<a href="http://wpa.qq.com/msgrd?v=3&uin=4008017500&site=qq&menu=yes" target="_blank" class="hz11"><i></i>4008017500</a>
<a href="javascript:void(0)" class="hz12"><i></i>400-80-17500</a>
</div>
</div>
</div>
</div>
<script type="text/javascript">
$(function(){
user.common.focusBlur($('#forgot_form'));
user.common.verifyurl = "https://passport.17500.cn/check/verify.html";
user.common.passwordurl = "https://passport.17500.cn/check/password.html";
user.common.password2url = "https://passport.17500.cn/check/password2.html";
$('input[name=password]').blur(function(){
user.common.passwordchk();
});
$('input[name=password2]').blur(function(){
user.common.password2chk();
});
$('input[name=verify]').blur(function(){
user.common.verifychk();
});
$(':checkbox[name=resetsecquess]').change(function(){
user.forgot.changecheck(this);
});
});
</script><div id="footer">
<p>
<a href="http://www.17500.cn/home/aboutus.php" target="_blank">关于乐彩网</a>丨 <a href="http://www.17500.cn/zhaopin/index.php" target="_blank">人才招聘</a>丨 <a href="http://www.17500.cn/home/vipright.php" target="_blank">服务说明</a>丨 <a href="http://www.17500.cn/pay/" target="_blank">支付方式</a>丨 <a href="http://www.17500.cn/home/contactus.php" target="_blank">联系方式</a>丨 <a href="http://www.17500.cn/comment/contact.php" target="_blank">在线沟通</a>丨 <a href="https://passport.17500.cn/index/index.html" target="">用户中心</a>丨 <a href="http://www.17500.cn/home/map.php" target="_blank">网站地图</a>丨 <a href="http://www.17500.cn" target="_blank">返回首页</a> </p>
快乐博彩,尽在乐彩<br/>
© 2004-2015 版权所有&nbsp;&nbsp;&nbsp;&nbsp;京ICP备13046446号|京公网安备11011202001644号&nbsp;&nbsp;&nbsp;&nbsp;<script type="text/javascript" src="https://tajs.qq.com/stats?sId=37761611" charset="UTF-8"></script><br/>
<img src="https://passport.17500.cn/Public/User/img/kx.gif" alt=""/>&nbsp;&nbsp;&nbsp;&nbsp;<img src="https://passport.17500.cn/Public/User/img/cx.gif" alt=""/>
</div> </body>
</html>


3、再做一次找回密码操作,如下图,下发短信码后,输入任意短信码(此处为123456),提交校验请求

2.jpg


4、可以看到响应提示短信码错误

3.jpg


5、用第一次重置密码操作得到的响应包替代此处,如下

4.jpg


6、释放请求后,成功进入重置密码页面,重置密码为:1111qqqq

5.jpg


7、重置密码成功,可利用该密码成功登录系统

6.jpg

漏洞证明:

见漏洞详细说明

修复方案:

完善认证机制,在前端和服务端同时校验

版权声明:转载请注明来源 恋锋@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-03-16 14:26

厂商回复:

漏洞Rank:20 (WooYun评价)

最新状态:

2015-03-17:漏洞已经解决,感谢白帽子积极与我们联系,在我们没有正常收到漏洞通知的情况下,找到了我们的联系方式并致电我们,对此我们表示由衷的感谢,希望乌云能给其补发rank,此漏洞危害严重,建议补发20Rank


漏洞评价:

评论

  1. 2015-03-16 15:32 | 小r00to1 ( 普通白帽子 | Rank:138 漏洞数:42 )

    啥情况!

  2. 2015-03-16 15:34 | 恋锋 ( 普通白帽子 | Rank:261 漏洞数:42 | 为了成为一名优秀的白帽子而继续努力!)

    被忽略了,我也是醉了

  3. 2015-03-17 09:17 | BMa ( 普通白帽子 | Rank:1776 漏洞数:200 )

    直接遍历UID就可以重置所有

  4. 2015-03-17 13:51 | 乐彩网(乌云厂商)

    @恋锋 这个我们没主动忽略啊。我们尽快修复此漏洞。谢谢您的提醒。

  5. 2015-03-17 13:57 | 恋锋 ( 普通白帽子 | Rank:261 漏洞数:42 | 为了成为一名优秀的白帽子而继续努力!)

    @乐彩网 良心厂商,这个漏洞算高危哟,望补一下rank,谢谢!

  6. 2015-03-18 15:34 | 肉肉 认证白帽子 ( 普通白帽子 | Rank:112 漏洞数:10 | 肉肉在长亭科技,肉肉在长亭科技,肉肉在长...)

    @乐彩网 你们的漏洞通知邮件发送是正常的,以后还请注意查收邮件。

  7. 2015-04-20 17:06 | 天朝城管 ( 普通白帽子 | Rank:116 漏洞数:35 | 不要等到命玩你的时候才开始玩命)

    @乐彩网 我的漏洞现在也是忽略啊 - -