当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0102479

漏洞标题:中国邮政网院越权系列两集连发附赠密码暴力猜解接口

相关厂商:中国邮政集团公司信息技术局

漏洞作者: yofx

提交时间:2015-03-20 09:51

修复时间:2015-05-04 10:22

公开时间:2015-05-04 10:22

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-20: 细节已通知厂商并且等待厂商处理中
2015-03-20: 厂商已经确认,细节仅向厂商公开
2015-03-30: 细节向核心白帽子及相关领域专家公开
2015-04-09: 细节向普通白帽子公开
2015-04-19: 细节向实习白帽子公开
2015-05-04: 细节向公众公开

简要描述:

可任意修改任何人的密码以及昵称,为什么要说明昵称?因为我不知道账号的情况下通过昵称密码即可登录!任何人!

详细说明:

刚说了有空要继续,这不我又来了。
这个漏洞是典型的越权漏洞,可是越权修改密码的同时牵扯到了修改昵称,那么就欢乐了,有了密码有了昵称,我就能直接登录查看照片,身份证,工作地点,学历等等信息,要是有空,遍历整个邮政系统人员貌似不算问题。。。
额对了其实还能改密保。。。
出问题的地方在
1、个人用户密码修改 http://jkfw.cpoc.cn/SysJKFW/dlxx/moddlaction_before_modpwd
2、个人资料修改 http://jkfw.cpoc.cn/SysJKFW/dlxx/moddlaction_cxdlxx
3、密保暴力猜解 http://jkfw.cpoc.cn/SysJKFW/dlxx/moddlaction_ispasswd?stuid=xxxxxxx&pwd=xxxxxx

漏洞证明:

我直接抓自己测试吧。。。抓到的包直接改stuid 即可实现随任意人员的密码修改以及昵称密保信息等等的修改,仅仅只需要换一个STUID 即可,也就是说,如果有耐心,写个脚本遍历修改并登陆抓取即可获取所有人员信息。。。

密码修改.png


昵称修改.png


随机测试的一个.png


密码暴力猜解,无需登陆等等直接访问url
http://jkfw.cpoc.cn/SysJKFW/dlxx/moddlaction_before_modpwd/SysJKFW/dlxx/moddlaction_ispasswd?stuid=编号&pwd=密码 会自动返回json文件,写个PYTHON脚本?

密码暴力破解.png


修复方案:

典型的越权,做好权限验证即可

版权声明:转载请注明来源 yofx@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-03-20 10:21

厂商回复:

谢谢。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-08-04 08:57 | yofx ( 路人 | Rank:16 漏洞数:7 | :))

    这个都只给5.。。伤心。