当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0122078

漏洞标题:WEB架构安全之锦程物流网任意用户密码重置漏洞(70万会员+企业可任意重置,论坛管理员密码任意重置)

相关厂商:锦程物流网

漏洞作者: 0x 80

提交时间:2015-06-24 17:09

修复时间:2015-08-12 07:40

公开时间:2015-08-12 07:40

漏洞类型:应用配置错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-06-24: 细节已通知厂商并且等待厂商处理中
2015-06-28: 厂商已经确认,细节仅向厂商公开
2015-07-08: 细节向核心白帽子及相关领域专家公开
2015-07-18: 细节向普通白帽子公开
2015-07-28: 细节向实习白帽子公开
2015-08-12: 细节向公众公开

简要描述:

WEB架构安全之锦程物流网任意用户密码重置漏洞(70万会员可任意重置,论坛管理员密码任意重置)
锦程物流网是国内最著名的物流综合门户网站,根据世界权威检测网站Alexa.com的访问量排名统计,锦程物流网在国内物流行业网站中连续四年排名第一。 锦程物流网成立以来,始终致力于打造全球最大的物流交易市场,为所有需要物流和提供物流的客户服务。连续两年独揽由中国物流行业协会颁发的“最佳物流BtoB网站”、“中国物流最佳媒体”殊荣;连续三年独揽由《电子商务世界》评选出的“中国行业电子商务网站TOP100”称号。连续两年荣获由《互联网周刊》评选出的“中国商业网站100强”称号,成为物流行业唯一上榜的网站。

详细说明:

漏洞点还是一个逻辑问题
在这里:
http://www.jctrans.com/Reg/MailActivation.aspx?UserName=
其中UserName= 对应查询用户名

436.png


理论上说,只要数据库中存在这个用户名就可以查到他的邮箱
就可以重置他的密码
比如,我输入TEST ,ADMIN,HAHA等等,一些用户喜欢常用用户名
如:admin
http://www.jctrans.com/Reg/MailActivation.aspx?UserName=admin
查出来了
验证邮件已发送到"liulili0218@hotmail.com",您需要点击邮件中的确认链接来完成注册!

46.png


接下来,我们需要二步
第一步:
修改它的注册邮箱地址
点击
修改成自己的~~
如466196038@qq.com

48.png


760.png


458.png


347.png


这时候,会收到一封注册激活邮件,地址是:
您好!
您于2015/6/22 9:14:33 注册锦程物流网账号"admin",点击以下链接,即可激活该账号:
http://www.jctrans.com/Reg/RActivation.aspx?userid=7E119612-C9C7-4186-A120-BEDFB0FB9FA8
1、为了保障您帐号的安全性,请在 48小时内完成激活,此链接将在您激活过一次后失效!
2、请尽快完成激活,否则过期,即2015/6/24 9:14:33后锦程物流网将有权收回该帐号。
访问
http://www.jctrans.com/Reg/RActivation.aspx?userid=7E119612-C9C7-4186-A120-BEDFB0FB9FA8
它会提示:

4371.png


无效激活码,或激活码已过期
这时候不用管,我们来到登陆处
选择找回密码
http://www.jctrans.com/editpassword.aspx
用户名admin (我们要重置的用户名
邮件就写我们的 466196038@qq.com
接下来,再提交

542.png


4321.png


这时候我们收到邮件
打开

4312.png


打开地址:

4351.png


这时候code验证成功
我们就修改为4520829aa吧

421.png


这时候我们已经成功修改了密码
登陆看看
admin 4520829aa

31.png


37.png


我们可以发现,我们利用改掉它的邮箱,就成功重置了它的密码
这时候邮件是我们的了~~~
=====================================================================
再来尝试一个
如:
http://www.jctrans.com/Reg/MailActivation.aspx?UserName=haha

3425.png


老规矩
修改邮箱

22.png


438.png


aa.png


同样是无效的激活
http://www.jctrans.com/Reg/RActivation.aspx?userid=C4A52CFF-8366-4C0A-95F0-04570DF97C2C
老规矩,登陆处
忘记密码
http://www.jctrans.com/Login.aspx

aa23.png


809.png


4361.png


用户haha
修改成4520829aa
登陆看看

a3.png


325.png


=====================================================
我们发现还有1个利用点
http://club.jctrans.com/space.php?uid=731124
论坛,,理论上用户名存在,我们都懂的,数万会员任意重置
再来试下
jctransbbs的个人空间
管理员的
http://www.jctrans.com/Reg/MailActivation.aspx?UserName=jctransbbs
果然

5487.png


3432.png


http://www.jctrans.com/EditPassWordSecond.aspx?userid=0922717F-F0FB-4E86-ACD5-2DCB84CFD906

324.png


jctransbbs 4520829aa
登陆看看
http://club.jctrans.com/admincp.php?action=members&username=jctransbbs&searchsubmit=yes&frames=yes

11.png


658.png


管理员沦陷了~~~

3456.png


70万会员可任意重置

漏洞证明:

21.png


http://www.jctrans.com/Reg/MailActivation.aspx?UserName=存在的用户名


修改邮箱,用户登录处,忘记密码,用户,与邮箱,自动激活,修改密码

修复方案:

参数过滤

版权声明:转载请注明来源 0x 80@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2015-06-28 07:38

厂商回复:

最新状态:

暂无


漏洞评价:

评论

  1. 2015-06-24 17:18 | DloveJ ( 普通白帽子 | Rank:1107 漏洞数:200 | <a href=javascrip:alert('xss')>s</a> 点...)

    膜拜大黑阔

  2. 2015-06-24 23:48 | 0x 80 ( 普通白帽子 | Rank:1301 漏洞数:398 | 某安全公司招聘系统运维、渗透测试、安全运...)

    呵呵,早点休息