当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0116150

漏洞标题:篱笆网重置任意用户密码(管理员帐户测试)

相关厂商:篱笆网

漏洞作者: 千斤拨四两

提交时间:2015-06-03 09:04

修复时间:2015-07-22 13:24

公开时间:2015-07-22 13:24

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-03: 细节已通知厂商并且等待厂商处理中
2015-06-07: 厂商已经确认,细节仅向厂商公开
2015-06-17: 细节向核心白帽子及相关领域专家公开
2015-06-27: 细节向普通白帽子公开
2015-07-07: 细节向实习白帽子公开
2015-07-22: 细节向公众公开

简要描述:

篱笆网,原名无忧团购网对于商家篱笆网是宣传媒体,是营销顾问,是销售渠道。通过篱笆网,商家可以针对准确的目标客户群进行产品最有效的宣传,网站还可以为商家提供专业的营销顾问服务,协助商家轻松开拓网络销售渠道,快速提升销售量。篱笆网是交流平台,是采购顾问,是消费保镖。通过篱笆网,会员可以学习交流消费知识、消费信息,更可通过网站、电话、团购卡等方式与网站商家进行交易,在享受优惠价格的同时,获得消费安全保障。

详细说明:

0x1:申请了个账号熟悉重置密码的流程,拿关键点来说吧!

q.png


输入正确的验证码抓取响应包返回重置密码的正确地址!

HTTP/1.1 200 OK
Date: Mon, 25 May 2015 10:02:00 GMT
Server: Apache
X-Powered-By: PHP/5.2.9
Set-Cookie: sessionhash=deleted; expires=Sun, 25-May-2014 10:01:59 GMT; path=/; domain=.liba.com
Set-Cookie: f_sm_vc=deleted; expires=Sun, 25-May-2014 10:01:59 GMT; path=/; domain=.liba.com
Vary: Accept-Encoding,User-Agent
Content-Length: 123
Keep-Alive: timeout=1, max=100
Connection: Keep-Alive
Content-Type: text/html;charset=utf-8
{"status":1,"result":"","message":"RIGHT_MOBILE_VERIFY_CODE","redirect":"findPassword.php?step=5&t=mobile&user_name=doum0"}


现在重要的数据抓到了,就来测试admin的用户!
0x2:输入管理员的帐户!

w.png


点击下一步可以看到admin没有绑定手机号,那就用自己申请的用户绑定了手机号,看下面操作。

r.png


在点击手机号时截断数据包,修改username为admin不过这还没完继续向下看!

t.png


输入doum0对应的手机号是不能获取到验证码的,会说与用户名不匹配,但是admin又没有绑定手机号。

y.png


这里就要修改响应包的数据,把0改成1就能将显示已发送验证码,但是不会接到验证!

u.png


漏洞证明:

0x4:现在随意在输入验证码,下一步截断数据修改响应包。

a.png


把我们第一次到重置密码页面的响应包对应修改,我们随意输入的手机号和验证码肯定是错误的!

s.png


修改数据如下,就能轻松绕过!

d.png


到了重置密码的页面,修改密码wooyun123

f.png


g.png


重置成功!

h.png


登录admin验证!

z.png


x.png


修复方案:

完善服务端的验证机制!
有没有礼物啊,求礼物啊,啊哈哈!!!

版权声明:转载请注明来源 千斤拨四两@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-06-07 13:22

厂商回复:

已安排修复

最新状态:

暂无

漏洞评价:

评论

  1. 2015-06-03 09:22 | null_z ( 普通白帽子 | Rank:251 漏洞数:30 )

    看来思路不同,关注。

  2. 2015-07-24 00:18 | BMa ( 普通白帽子 | Rank:1776 漏洞数:200 )

    @千斤拨四两 为什么不直接访问step5的页面,或者在step6时替换用户名?反正没其他验证