漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0159785
漏洞标题:房房通在线经纪人工作平台多个漏洞打包
相关厂商:武汉泰悦互动科技有限公司
漏洞作者: soFree
提交时间:2015-12-10 16:48
修复时间:2016-01-23 15:16
公开时间:2016-01-23 15:16
漏洞类型:未授权访问/权限绕过
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-12-10: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-01-23: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
房房通在线经纪人工作平台多处越权缺陷
详细说明:
《平行越权》:
1.修改密码:http://www.fft365.com/User/UpdateUserPwd.aspx?saveType=1&ismypwd=
首先修改密码设计缺陷,未验证新密码,直接提交新密码即可,因为存在越权,能造成极大危害,可任意修改他人登录密码
通过遍历txtUserID(纯数字),可任意修改他人的登录密码
2.修改个人信息:http://www.fft365.com/User/SaveUser.aspx?action=edit&self=self&editType=1
通过遍历txtUserID(纯数字),可任意修改他人的个人信息
《垂直越权》:
3.公司资料修改:http://www.fft365.com/Department/UpdateDeptCompanyName.aspx
普通员工可垂直越权,访问只能经理才能访问的公司资料修改模块,并能正常进行后续操作
4.IP访问限制:http://www.fft365.com/Department/PermitIPList.aspx
普通员工可垂直越权,访问只能经理才能访问的IP访问限制模块,并能正常进行后续操作
5.时间访问限制:http://www.fft365.com/Department/LoginTime.aspx
普通员工可垂直越权,访问只能经理才能访问的时间访问限制模块,并能正常进行后续操作
6.批量转移房源:http://www.fft365.com/Aid/BatchTransfer.aspx
普通员工可垂直越权,访问只能经理才能访问的批量转移房源模块,并能正常进行后续操作
后面的也一样,危害也比较大,不再一一截图
7.新建部门模块:http://www.fft365.com/Department/DeptAdd.aspx
...
8.组织管理模块:http://www.fft365.com/Department/DeptList.aspx
...
9.新增员工模块:http://www.fft365.com/User/AddUser.aspx
...
10.员工资料管理模块:http://www.fft365.com/User/UserList.aspx
...
11.员工权限管理模块:http://www.fft365.com/User/UserPurviewFullList.aspx
...
......
漏洞证明:
房房通在线经纪人工作平台某处设计缺陷,可任意重置密码
首先,找回密码处有两处设计缺陷:
http://www.fft365.com/apply/getpass.ashx?txtMail=xssss@163.com&txtUser=xss124&num=Wed%20Dec%2009%202015%2013:02:46%20GMT+0800%20(%E4%B8%AD%E5%9B%BD%E6%A0%87%E5%87%86%E6%97%B6%E9%97%B4)
1.找回密码,需要提交账号和绑定的邮箱,结果代码居然没有校验账号和绑定的邮箱的对应关系,任意填一个邮箱,结果重置密码邮件就发到哪个邮箱了,奇葩
同一个账号提交两个不同邮箱:
2.找回密码设计缺陷,提交找回密码后,所有账号重置的密码都为:abc123。低级的逻辑
另外:注册:http://www.fft365.com/Apply/AddErpSimpleVersion.aspx?isfistr=0&ftype=1&saveType=1
遍历txtDomain,可批量注册,建议增加图片验证码
sql注入在登录请求: http://www.fft365.com/DealLogin.aspx?hz=&action=login&str_username=范晓凤&str_userpwd=aaa111&reb=false
注入点:str_username
呃!post方式使用有误吧,而且明文传输账号和密码,开发哥哥!post的话:账号和密码应该放在 HTTP 消息主体中发送的,好吗?而不是放在请求的 URL 中
注入payload:
abc123' or '1'='1
abc124' or '1'='1
abc125' or '1'='1
范晓凤' or '1'='1
均能成功登录
登录账号:abc123
登录账号:abc124:
大量敏感信息,房源,客源,要是卖给其他房产公司,这个收益...呃...:
出售房源:
出租房源:
求购客源:
求租客源:
身份证手机号姓名等敏感信息:
获取大量存在的账号:
属于盲注,最后顺便用sqlmap证明一下,191个表啊,我没脱裤,没干别的,不要查我水表,just prove it:
列:
另外:登录请求,密码无错误频次限制无图片验证码,可爆破和撞库,建议修改哟
修复方案:
优化权限控制机制
版权声明:转载请注明来源 soFree@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝