当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0106801

漏洞标题:北京市居住证管理系统设计缺陷不用密码随意登陆任意用户账号(登陆后还可以查看明文的密码)

相关厂商:cncert国家互联网应急中心

漏洞作者: hkAssassin

提交时间:2015-04-10 16:46

修复时间:2015-05-29 18:10

公开时间:2015-05-29 18:10

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-04-10: 细节已通知厂商并且等待厂商处理中
2015-04-14: 厂商已经确认,细节仅向厂商公开
2015-04-24: 细节向核心白帽子及相关领域专家公开
2015-05-04: 细节向普通白帽子公开
2015-05-14: 细节向实习白帽子公开
2015-05-29: 细节向公众公开

简要描述:

这个系统很奇葩……我无话可说!

详细说明:

正常的入口登陆地址:http://219.232.200.39/uamsso/。选择口令方式登陆
登陆成功后会看到下面第一幅图所示的样子。
然后点击居住证管理系统会跳转到一个新的链接,类似:http://219.232.200.39/uamsso/SSOSecService?sid=(32位的md5加密串)&LinkType=online&LinkID=666。然后接着自动跳转进自己的系统内。此系统的地址为:
http://219.232.200.42/yjrc/person/index.jsp。
以上是正常的登陆流程。
经过多次测试发现,其实直接访问 http://219.232.200.39/uamsso/SSOSecService?sid=(32位的md5加密串)&LinkType=online&LinkID=666这个链接就可以登陆成功。前提是sid这个密文串必须是正确的密文串。那么其实只要破解了这个密文串的加密算法就可以随意生成sid。
经过多次测试发现这个sid串的生成算法其实很简单。就是讲一个用户的身份证号和登陆的用户名做了字符串拼接然后做了一次MD5加密。最后生成的32位值就是sid的值。
所以,只要知道一个人的身份证号和登陆的用户名就可以不用密码直接登陆此系统。而且经过多次测试发现,登陆的用户名有很多都为此人所在公司的工号或者姓名的全拼或者简拼。
详细的证明过程看下面:


正常登陆后出现的界面。点击居住证管理系统即可跳转进居住证管理系统。

ss1.png


下面是我在测试过程中发现的一个身份证和登陆名:
身份证:152526198702080052
登录名:lizongkui
sid:即为sid=md5(152526198702080052lizongkui)
然后拼接url:http://219.232.200.39/uamsso/SSOSecService?sid=md5(152526198702080052lizongkui)&LinkType=online&LinkID=666.直接在浏览器访问就可以跳转进登陆系统。而且此时抓包,通过burp的repeat功能可以查看到明文的密码。证明如下


明文的密码如下:经过测试使用此明文密码是可以正常登陆的。

ss2.png


详细的登陆过程和过多的登陆案例就不在截图,因为所涉及的信息比较敏感。上面提供了一个身份证号和登录名,sid你们自己验证的时候生成一下就可以。为了测试方便身份证号和登录名我没办法打码,测试完之后希望做一下处理……

漏洞证明:

正常的入口登陆地址:http://219.232.200.39/uamsso/。选择口令方式登陆
登陆成功后会看到下面第一幅图所示的样子。
然后点击居住证管理系统会跳转到一个新的链接,类似:http://219.232.200.39/uamsso/SSOSecService?sid=(32位的md5加密串)&LinkType=online&LinkID=666。然后接着自动跳转进自己的系统内。此系统的地址为:
http://219.232.200.42/yjrc/person/index.jsp。
以上是正常的登陆流程。
经过多次测试发现,其实直接访问 http://219.232.200.39/uamsso/SSOSecService?sid=(32位的md5加密串)&LinkType=online&LinkID=666这个链接就可以登陆成功。前提是sid这个密文串必须是正确的密文串。那么其实只要破解了这个密文串的加密算法就可以随意生成sid。
经过多次测试发现这个sid串的生成算法其实很简单。就是讲一个用户的身份证号和登陆的用户名做了字符串拼接然后做了一次MD5加密。最后生成的32位值就是sid的值。
所以,只要知道一个人的身份证号和登陆的用户名就可以不用密码直接登陆此系统。而且经过多次测试发现,登陆的用户名有很多都为此人所在公司的工号或者姓名的全拼或者简拼。
详细的证明过程看下面:


正常登陆后出现的界面。点击居住证管理系统即可跳转进居住证管理系统。

ss1.png


下面是我在测试过程中发现的一个身份证和登陆名:
身份证:152526198702080052
登录名:lizongkui
sid:即为sid=md5(152526198702080052lizongkui)
然后拼接url:http://219.232.200.39/uamsso/SSOSecService?sid=md5(152526198702080052lizongkui)&LinkType=online&LinkID=666.直接在浏览器访问就可以跳转进登陆系统。而且此时抓包,通过burp的repeat功能可以查看到明文的密码。证明如下


明文的密码如下:经过测试使用此明文密码是可以正常登陆的。

ss2.png


详细的登陆过程和过多的登陆案例就不在截图,因为所涉及的信息比较敏感。上面提供了一个身份证号和登录名,sid你们自己验证的时候生成一下就可以。为了测试方便身份证号和登录名我没办法打码,测试完之后希望做一下处理……

修复方案:

我觉得这个系统就是用来骗人事局的。望重视,这么重要的系统怎么可以找个没毕业的小学生来开发呢!

版权声明:转载请注明来源 hkAssassin@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-04-14 18:09

厂商回复:

CNVD未直接复现所述漏洞情况,已经转由CNCERT向国家上级信息安全协调机构上报,由其后续协调网站管理单位处置.

最新状态:

暂无


漏洞评价:

评论

  1. 2015-04-10 16:58 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    第……几弹了

  2. 2015-04-10 17:55 | hkAssassin ( 普通白帽子 | Rank:358 漏洞数:66 | 我是一只毛毛虫。)

    @疯狗 狗哥 这个为什么没上首页,是走小厂商了么。个人觉嘚这个漏洞相比前几个问题更严重些!!!

  3. 2015-04-10 18:31 | 0c0c0f ( 实习白帽子 | Rank:48 漏洞数:15 | My H34rt c4n 3xploit 4ny h0les!)

    @hkAssassin 一弹一弹的

  4. 2015-04-10 19:06 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @hkAssassin 就在首页啊

  5. 2015-04-13 16:32 | hkAssassin ( 普通白帽子 | Rank:358 漏洞数:66 | 我是一只毛毛虫。)

    @疯狗 额看到了!刚过的时候没在首页。走首页的也是走小厂商流程么!我记得首页的都是走大厂商的!