漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0162609
漏洞标题:国美某分站导致用户敏感信息泄露+任意密码重置
相关厂商:国美控股集团
漏洞作者: inforsec
提交时间:2015-12-20 19:02
修复时间:2016-02-01 10:51
公开时间:2016-02-01 10:51
漏洞类型:敏感信息泄露
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-12-20: 细节已通知厂商并且等待厂商处理中
2015-12-21: 厂商已经确认,细节仅向厂商公开
2015-12-31: 细节向核心白帽子及相关领域专家公开
2016-01-10: 细节向普通白帽子公开
2016-01-20: 细节向实习白帽子公开
2016-02-01: 细节向公众公开
简要描述:
本来只是想要测试国美主站有没有任意密码重置的,绕着绕着就来到了旗下一个站点了。之前也有人发现过类似的问题,厂商似乎做了修复,可是怎么能指哪补哪啊。
详细说明:
1、用户敏感信息泄露:
问题网址:http://member.multigold.com.cn/login/repassword.html
国美旗下多边金都网的『忘记密码』处。
首先,我用自己手机号码注册了一个账号,密码是test123.
接着来到找回密码处,用户名输入我的手机号码,这时输入框下方立马显示了我的手机号:
那就说明服务器对用户名做了实时判断,会回传用户名对应的手机号码,这时我们看看抓包:
从返回头可以清晰的看到账户费用、账户添加时间、是否绑定email、是否结婚、密码、用户手机、用户最近登录时间等敏感信息。
我将显示的密码进行md5解密,得到结果就是TEST123,说明此处用的是md5加密。
既然如此,那么我们遍历一下,是不是就可以获取到所有用户的信息了,而且这里非常配合的一点是,找回密码处,可以通过用户名、手机号码、邮箱找回。
为了证实下我的猜想,那么在用户名处输入12345,这时页面返回用户名存在,以及手机号码:
返回头信息:
当然这里做遍历还是没有针对性,我们可以到商城的用户评价处精确获取用户名进行查阅,并且商城间接给我们做了非常好的财富筛选,将这些用户按照财富能力排好了。
只需要来将商品排序,按照价格排序,评论数由高到低排序,找到一个看起来不像是水军的用户名,再次来到我们之前找回密码处查询就可以查到这个用户的各种信息,是不是很吊!
比如这个金条商品下面的用户:http://www.multigold.com.cn/product/296-0.html#detail-tt,一定都是多金主,用户名都这么霸气:chenxingchen888
再来看千足金转运珠1.14g1.14g下面的用户:http://www.multigold.com.cn/product/1120-0.html#detail-tt,就不能跟上面的比了,名字都叫:nana323
之所以说这些,是为了找到一个真实地用户名来进行任意密码重置实测。因为虽然我们可以从返回头看出用户密码md5,但是有些解起来比较费劲,那么我们是否可以直接改掉呢?
2、任意密码重置:
我们继续刚才找回密码的步骤,输入我的手机号码,验证码,以及随意写的手机验证码1234,点击下一步,告诉我们短信验证码错误:
这是看我们的返回包:
那我们再来试试正确的验证码,看看返回头:
好了,我们把返回头修改下,再回到刚才的地方,再次输入1234,点击下一步,就绕过去了:
漏洞证明:
修复方案:
修改整个密码重置流程,不要将用户进行直接在返回包中明文展示。
版权声明:转载请注明来源 inforsec@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:18
确认时间:2015-12-21 10:09
厂商回复:
感谢您提供的信息。
最新状态:
暂无