当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-093954

漏洞标题:凤凰网某频道弱口令进后台导致越权影响所有经销商用户(1W9用户涉及订单等信息)

相关厂商:凤凰网

漏洞作者: 蓝冰

提交时间:2015-01-26 09:25

修复时间:2015-03-12 09:26

公开时间:2015-03-12 09:26

漏洞类型:后台弱口令

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-26: 细节已通知厂商并且等待厂商处理中
2015-01-26: 厂商已经确认,细节仅向厂商公开
2015-02-05: 细节向核心白帽子及相关领域专家公开
2015-02-15: 细节向普通白帽子公开
2015-02-25: 细节向实习白帽子公开
2015-03-12: 细节向公众公开

简要描述:

RT 走大厂商可好

详细说明:

问题站点: http://dealer.auto.ifeng.com/ 凤凰汽车经销商登录平台
首先发现一枚弱口令 ifeng 123456

屏幕快照 2015-01-26 0.42.45.png


刚开始以为是 管理员的 后来发现是普通经销商的用户名

屏幕快照 2015-01-26 1.03.17.png


后台功能如上
然后挖掘漏洞 发现一枚越权漏洞

屏幕快照 2015-01-26 1.11.59.png


这个是查看订单的一个get请求 其中cookie 中的name base64解码后是ifeng 也就是用户名
did 是该用户的 id
这是正常的请求
接着把did 改成其他的

屏幕快照 2015-01-26 1.12.14.png


结果提示说 没有权限
本以为没戏了 猜测后台 拿 name和did进行 判断
最后 抱着试试看的心态 把name 随便改成其他字符串
我这里用了 aaaa 进行base64编码后 替换掉原来的
然后 惊奇的是 成功返回了订单信息 而且是越权访问

屏幕快照 2015-01-26 1.12.34.png


接着用火狐的插件修改cookie

屏幕快照 2015-01-26 1.14.20.png


屏幕快照 2015-01-26 1.14.51.png


这个是ifeng 这个用户的企业信息 由于这些信息都是公开的 我就不打码了
下面这个是 通过越权得到的信息

屏幕快照 2015-01-26 1.14.30.png


屏幕快照 2015-01-26 1.15.19.png


来电管理

屏幕快照 2015-01-26 1.15.50.png


订单管理

屏幕快照 2015-01-26 1.15.35.png


积分管理

屏幕快照 2015-01-26 1.23.51.png


通过测试 不光可以查询 还可以进行添加等其他操作 跟输入用户密码登录没区别

屏幕快照 2015-01-26 0.43.19.png


在这列出了所有经销商信息
约有19000+用户

漏洞证明:

已证明

修复方案:

加强验证 防止越权
多给点rank吧

版权声明:转载请注明来源 蓝冰@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-01-26 16:25

厂商回复:

非常感谢您对凤凰网信息安全的帮助。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-01-26 10:24 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    这个漏洞过程证明真是极好的啊

  2. 2015-01-26 12:25 | 蓝冰 ( 核心白帽子 | Rank:627 漏洞数:50 | -.-)

    @疯狗 嘿嘿毕竟第一次发越权

  3. 2015-01-26 15:38 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @蓝冰 很细心 :)