当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0117565

漏洞标题:美乐乐重置任意用户密码(N种方法重置admin账户)

相关厂商:美乐乐

漏洞作者: 千斤拨四两

提交时间:2015-06-02 15:47

修复时间:2015-07-17 15:48

公开时间:2015-07-17 15:48

漏洞类型:网络设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-02: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-07-17: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

若忽略求补rank,多种重置方案,步骤详细。。。
美乐乐是中国最大的家居电子商务平台。2011年,美乐乐率先在国内实现由线上“美乐乐家具网”与线下“美乐乐体验馆”为基础的“双平台O2O”经营模式,是国内领先的家居电商O2O平台。

详细说明:

0x1:注册一个测试用户绑定上手机号或者邮箱,这里绑定了手机号,走一遍正确的流程,记录下第一步返回的响应包!

q.png


HTTP/1.1 200 OK
Server: ngx_openresty/1.2.7.1
Date: Mon, 01 Jun 2015 10:08:31 GMT
Content-Type: application/json;charset=UTF-8
Connection: keep-alive
X-Powered-By: Servlet/3.0; JBossAS-6
x-server: 17
Cache-Control: no-cache
Content-Length: 120
{"userName":"doubao","uid":2838307,"isValidatePhone":1,"phone":"13xxxxxxxx2","error":0,"msg":"有找回密码的途径"}


w.png


0x2:现在就可以用admin用户测试,原因继续向下看为什么要有0x1的原因!

e.png


admin并没有绑定密码找回方式,修改响应包如下就能通过手机或者邮箱找回密码,其实这种方法笨了,可以用测试的用户直接修改username,这也算是一种思路吧(可填入任意手机号,因为我们根本不需要验证码,在服务端根本就没有验证,直接修改响应包即可)。

r.png


0x3:在验证码处任意填写数字修改响应包,把1改成0放行!

t.png


y.png


0x4:修改密码为wooyun123.

u.png


0x5:最后一步再次修改响应包把1改成0,就能重置成功!

i.png


o.png


0x6:登陆验证!

p.png


漏洞证明:

上面已经说明一些重置方法,还可以在发送验证码是修改手机号,点击获取验证码是get方式请求,修改为任意的手机号。

a.png


也可以在完全正确的步骤下在最后一步修改想要重置的密码用户名,之后修改响应包1为0,就可成功,意思已说明不在演示!

修复方案:

完善服务端的验证机制,若忽略求补rank,思路说明的很明白,过程也很详细,很不容易的!!!

版权声明:转载请注明来源 千斤拨四两@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:8 (WooYun评价)

漏洞评价:

评论

  1. 2015-06-03 13:32 | meilele(乌云厂商)

    已在进行处理

  2. 2015-06-03 13:55 | 千斤拨四两 ( 普通白帽子 | Rank:510 漏洞数:88 | 是时候表演真正的技术了。。。)

    @meilele 有没有小礼物啊,啊哈哈!!!

  3. 2015-06-03 14:00 | meilele(乌云厂商)

    可以帮你申请一下。

  4. 2015-06-06 10:10 | 千斤拨四两 ( 普通白帽子 | Rank:510 漏洞数:88 | 是时候表演真正的技术了。。。)

    @meilele 怎么还没有认领呢? ——!