当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0114450

漏洞标题:美囤妈妈登陆验证码可绕过进而可撞库(影响宝宝树)

相关厂商:美囤妈妈

漏洞作者: 路人甲

提交时间:2015-05-16 16:13

修复时间:2015-06-30 20:02

公开时间:2015-06-30 20:02

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-05-16: 细节已通知厂商并且等待厂商处理中
2015-05-16: 厂商已经确认,细节仅向厂商公开
2015-05-26: 细节向核心白帽子及相关领域专家公开
2015-06-05: 细节向普通白帽子公开
2015-06-15: 细节向实习白帽子公开
2015-06-30: 细节向公众公开

简要描述:

之前提交非要证明,周末用常见弱密码跑出来了几个用户

详细说明:

主站登陆接口user.meitun.com/user/ajaxLogin?callback=jQuery&username=手机号&password=password
此接口请求过多时会出验证码,其实是根据cookie中的session来决定有没有验证码的。因此删掉所有cookie去请求此接口即可免去验证码。
本来就到此为止了,可乌云非要有数据证明才给过。。。
注册接口未限制单IP请求数,导致可以遍历手机号查询得到已注册用户列表
用burp 的Intruder遍历北京联通的一个号段,跑了1W多次,得到94个已注册手机号[抱歉,用你们发短信的接口给1W用户发了注册短信:) ]

sms.png


94个手机号为

18601140052
18601140395
18601140394
18601140466
18601140542
18601140553
18601140746
18601141129
18601141181
18601141217
18601141278
18601141279
18601141300
18601141380
18601141418
18601141668
18601141678
18601141890
18601142001
18601142073
18601142302
18601142558
18601142686
18601142732
18601142861
18601142885
18601142899
18601142913
18601142959
18601142981
18601143019
18601143385
18601143513
18601143534
18601143535
18601143731
18601143919
18601143959
18601143960
18601144019
18601144041
18601144040
18601144220
18601144355
18601144595
18601144632
18601144987
18601145035
18601145105
18601145282
18601145406
18601145524
18601145521
18601145645
18601145779
18601145903
18601146201
18601146280
18601146496
18601146497
18601146599
18601146660
18601146823
18601147002
18601147212
18601147319
18601147547
18601147560
18601147562
18601147605
18601147691
18601147746
18601147877
18601147883
18601147997
18601148167
18601148337
18601148493
18601148513
18601148629
18601148661
18601148692
18601148744
18601148782
18601148812
18601148999
18601149091
18601149164
18601149163
18601149405
18601149438
18601149712
18601149711
18601149806


然后用csdn的top100密码对这94个用户进行撞库
9400次请求,最后跑出来两个密码为123456的用户

username=18601141418&password=123456
username=18601148812&password=123456


success.png


另外,看用户昵称似乎是宝宝树的用户,自动开通了美囤妈妈的账号,试着在宝宝树登陆,还真成功了

bt.png


To审核人员:
虽然只有两个用户,但也说明了验证码可绕过的问题,如果要大量成功数据,就得给更多人发短信,有些不太好...

漏洞证明:

success.png

修复方案:

1.登陆的验证码策略不能和session绑定,应该和IP绑定
2.m页登陆接口是完全无验证码的,也可以直接用来撞库
3.注册接口要限制单IP发送短信量
4.移动端注册接口同样需要限制短信发送量

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-05-16 20:00

厂商回复:

其实此问题我们已经知道,还没来得急修复。谢谢洞主,请继续关注!

最新状态:

暂无


漏洞评价:

评论

  1. 2015-05-16 16:31 | kydhzy ( 普通白帽子 | Rank:362 漏洞数:62 | 软件测试)

    好像是这家唯一一个上大厂商的

  2. 2015-05-16 18:17 | 90Snake ( 普通白帽子 | Rank:109 漏洞数:42 | 最大的漏洞就是人)

    @kydhzy 目测10Rank

  3. 2015-06-30 21:23 | Me_Fortune ( 普通白帽子 | Rank:209 漏洞数:71 | I'm Me_Fortune)

    洞主以后直接跑123456就没错,99个就从来没用过