当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0161945

漏洞标题:中国现代教育网任意密码重置+存储XSS可获cookie

相关厂商:中国现代教育网

漏洞作者: inforsec

提交时间:2015-12-18 13:32

修复时间:2016-02-05 17:36

公开时间:2016-02-05 17:36

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-18: 细节已通知厂商并且等待厂商处理中
2015-12-22: 厂商已经确认,细节仅向厂商公开
2016-01-01: 细节向核心白帽子及相关领域专家公开
2016-01-11: 细节向普通白帽子公开
2016-01-21: 细节向实习白帽子公开
2016-02-05: 细节向公众公开

简要描述:

密码找回设计缺陷,可以任意修改。
某处存储XSS,可轻松获取用户cookie。

详细说明:

1、任意密码重置
首先用自己手机号码注册一个账号。这里可以遍历所有注册手机号码:

01.png


然后来到登陆页,选择手机重置密码:

02.png


随便输入一串验证码,点击确定,抓包,这时返回头是这样的:

03.png


我们再输入一次正确的验证码,点击确定,抓包,这时返回头是这样的:

04.png


这时就可以直接进行新密码修改了:

05.png


那么剩下的问题就是如何绕过这个验证码,方法有两个:
1)暴力破解,正如各位看到的验证码长度4位,跑一下很快就出来。
2)修改返回值绕过。
第一种我就不说了,我们说下第二种,在burp suite里增加一条规则,把刚才成功的相应头改写进去:

06.png


这是我们从头开始。点击通过手机找回密码,点击获取验证码,任意输入几位数字:

07.png


点击确定,就可以成功进入修改密码页。
2、存储XSS
登陆自己的账号,首先试试发一个状态,看是否会弹窗。

09.png


发现没弹窗,我想就算了,直接提交上一个洞就行了。
几分钟后,正当我退出自己的账号,这时弹窗来了:

11.png


就是登陆的首页:http://**.**.**.**/Login.do?ReturnUrl=%2fDefault.do
那么好了,我换一个获取cookie的是不是也会有,然后修改了下代码发了一个状态。
很快我的平台就刷刷满了……

14.png


漏洞证明:

1、任意密码重置
首先用自己手机号码注册一个账号。这里可以遍历所有注册手机号码:

01.png


然后来到登陆页,选择手机重置密码:

02.png


随便输入一串验证码,点击确定,抓包,这时返回头是这样的:

03.png


我们再输入一次正确的验证码,点击确定,抓包,这时返回头是这样的:

04.png


这时就可以直接进行新密码修改了:

05.png


那么剩下的问题就是如何绕过这个验证码,方法有两个:
1)暴力破解,正如各位看到的验证码长度4位,跑一下很快就出来。
2)修改返回值绕过。
第一种我就不说了,我们说下第二种,在burp suite里增加一条规则,把刚才成功的相应头改写进去:

06.png


这是我们从头开始。点击通过手机找回密码,点击获取验证码,任意输入几位数字:

07.png


点击确定,就可以成功进入修改密码页。
2、存储XSS
登陆自己的账号,首先试试发一个状态,看是否会弹窗。

09.png


发现没弹窗,我想就算了,直接提交上一个洞就行了。
几分钟后,正当我退出自己的账号,这时弹窗来了:

11.png


就是登陆的首页:http://**.**.**.**/Login.do?ReturnUrl=%2fDefault.do
那么好了,我换一个获取cookie的是不是也会有,然后修改了下代码发了一个状态。
很快我的平台就刷刷满了……

14.png


修复方案:

任意密码重置,修改下整个验证的流程,增加验证码位数。
存储xss 过滤吧。

版权声明:转载请注明来源 inforsec@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-12-22 17:42

厂商回复:

CNVD未复现所述情况,已经转由CNCERT向教育部教育管理信息中心通报,由其后续协调网站管理单位处置.

最新状态:

暂无

漏洞评价:

评价