当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-094242

漏洞标题:天天网任意账号密码重置(非暴力温柔修改)

相关厂商:tiantian.com

漏洞作者: 蓝冰

提交时间:2015-01-28 10:55

修复时间:2015-03-14 10:56

公开时间:2015-03-14 10:56

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-28: 细节已通知厂商并且等待厂商处理中
2015-01-28: 厂商已经确认,细节仅向厂商公开
2015-02-07: 细节向核心白帽子及相关领域专家公开
2015-02-17: 细节向普通白帽子公开
2015-02-27: 细节向实习白帽子公开
2015-03-14: 细节向公众公开

简要描述:

RT

详细说明:

首先我们先来看一下 找回密码的流程
1.填好邮箱和验证码 下一步

屏幕快照 2015-01-27 21.13.58.png


屏幕快照 2015-01-27 21.16.02.png


返回了邮箱
2.填写正确的验证码 抓包看一看

屏幕快照 2015-01-27 21.14.40.png


屏幕快照 2015-01-27 21.16.21.png


可以看到返回了一串加密字符串这个很重要 等会再说
经过测试证明 cookie中的 值对找回密码没有影响
3.重置密码

屏幕快照 2015-01-27 21.16.43.png


可以看到URL中的 一串加密字符串正是 第二步中 返回的那串字符串
因为证明 cookie中的 值对找回密码没有影响 所以只要拿到这个加密字符串就可以 任意重置密码
那么怎么得到这个字符串呢

屏幕快照 2015-01-27 21.30.28.png


这个是第二步中抓到的包 把cookie中的 LoginOrRegOftiantianUser值 改成要重置的账号
这里我拿service@tiantian.com 测试
可以看到 成功返回了 加密字符串
既然拿到了 字符串 下一步就是重置密码了
首先输入邮箱和验证码 点击下一步 这一步是必须要做的 要不然不会成功

屏幕快照 2015-01-27 21.34.24.png


然后直接用 拿到的字符串 访问重置密码的页面 假如 上一步没有做的话 到这一步会直接302跳转

屏幕快照 2015-01-27 21.35.09.png


重置成功

屏幕快照 2015-01-27 21.35.35.png


屏幕快照 2015-01-27 21.36.32.png


OK 密码被重置为 wooyun123

漏洞证明:

已证明

修复方案:

对找回密码这一块 建议重构代码

版权声明:转载请注明来源 蓝冰@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-01-28 11:48

厂商回复:

多谢

最新状态:

暂无


漏洞评价:

评论

  1. 2015-01-28 11:26 | Y4ngshu ( 实习白帽子 | Rank:38 漏洞数:7 | 十年磨一剑。)

    - -又是走大厂商啊 人品爆了啊 么么哒

  2. 2015-01-28 13:16 | ucifer ( 普通白帽子 | Rank:156 漏洞数:52 | 萌萌哒~)

    大厂商,偶现在还挖不动啊。。@蓝冰求带

  3. 2015-04-20 20:13 | redare ( 实习白帽子 | Rank:49 漏洞数:13 )
  4. 2015-04-21 13:58 | 蓝冰 ( 核心白帽子 | Rank:627 漏洞数:50 | -.-)

    @redare 没重复 一个是 输入用户 后 直接返回字符串 然后厂商把那个字符串 放到了 输入随机验证码 后返回

  5. 2015-04-21 14:41 | redare ( 实习白帽子 | Rank:49 漏洞数:13 )

    @蓝冰 确实,不好意思看错了,厂商真任性一定要返回这个值

  6. 2015-04-21 14:49 | 蓝冰 ( 核心白帽子 | Rank:627 漏洞数:50 | -.-)

    @redare :) 厂商 太任性 要是不重新设计代码的话 这个字符串一定要返回