当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0114145

漏洞标题:易多财富P2P平台任意重置密码和支付密码(账户密码已经泄露前提)

相关厂商:易多财富

漏洞作者: 孔卡

提交时间:2015-05-14 18:30

修复时间:2015-06-28 18:32

公开时间:2015-06-28 18:32

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-05-14: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-06-28: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

无需原密码或者原支付密码,直接可以修改成想要的密码

详细说明:

12306撞库事件给大家敲响了警钟,进入账户后再能任意修改支付密码该有多可怕~~~~~~
这个小知识是从乌云学来的----不过自己看了几个漏洞,发现一个共性:似乎但凡有这种漏洞的地方,修改密码时应用发的POST包一般分为两步(是魔鬼的步伐……):
1.post “oldpassword”去查询 就是原密码,然后得到一个响应包,如果响应包正确的话,就会继续第2步;不正确的话,就没有然后了,提示原密码错误;
2.post “newpassword”去update,就是设置新密码了。
1和2是有先后之分的
OK 说了这么多 不知道理解到位不----还望各位指导。下面贴图证明吧

漏洞证明:

我们直接看修改交易密码吧,就是这里咯

1baodizhi.jpg


然后先用真正的交易密码正常修改一次,目的是为了抓取正确的响应包

1bao.jpg

这是一次post包 查询旧密码是否一致

2bao.jpg

这是正确的响应包,好的我们记录下来正确的响应包,这相当于一把万能钥匙啊

HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
Content-Type: application/json;charset=UTF-8
Date: Thu, 14 May 2015 08:13:25 GMT
Content-Length: 76
{"success":true,"errMsg":null,"otherMsg":null,"data":null,"spreadCode":null}


好的,接下来我们直奔主题,随便修改支付密码

1bao1.jpg


原来的密码随便乱输 新支付密码我设置的是1234567
然后点“修改”,burp的截断开启,

3bao3.jpg


如上图,设置截断响应包,然后继续点击forward,准备修改响应包

3bao4.jpg


现在的响应包是错误的响应包,上面我已经把正确的响应包代码贴出来了,直接粘贴覆盖到现在的响应包上,点击forward即可(注意观察可发现虽然2个响应包结构类似,但其实不一样,大家来找茬...)
OK,现在把截断关闭吧,剩下的数据包传输叫他按正常流程来就好,会自动update我们的新支付密码过去的。
看结果

4bao4.jpg


现在我的支付密码是1234567了 ,怕我截图作假的话厂商可自行按步骤验证,大家伙也可以找例子验证;再看下他的post包流程,也就是我介绍里说的一步两步,是魔鬼的步伐~~

5bao5.jpg


更改用户密码的机制和步骤等等和更改支付密码一模一样;也就是说同一个问题出现了两次!不再赘述了。

修复方案:

程序的逻辑问题~~~说出来解决就不难了~~~
为了用户资金安全,请增加支付密码等弱口令禁止录入机制

版权声明:转载请注明来源 孔卡@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论

  1. 2015-05-14 18:34 | 孔卡 ( 实习白帽子 | Rank:42 漏洞数:12 | 我已经过了那个餐桌上只有一条鸡腿就一定能...)

    @浩天 恋锋那里的洞你说些的太复杂了,还有更简单的办法,酱紫算比较简单的不~~~~~~