奥凯航空某系统重置任意用户密码重置

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0187223

漏洞标题：奥凯航空某系统重置任意用户密码重置

漏洞作者：黑骑士

提交时间：2016-03-21 15:31

修复时间：2016-04-27 14:11

公开时间：2016-04-27 14:11

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：18

漏洞状态：厂商已经修复

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-03-21：细节已通知厂商并且等待厂商处理中
2016-03-23：厂商已经确认，细节仅向厂商公开
2016-04-02：细节向核心白帽子及相关领域专家公开
2016-04-12：细节向普通白帽子公开
2016-04-22：细节向实习白帽子公开
2016-04-27：厂商已经修复漏洞并主动公开，细节向公众公开

简要描述：

奥凯航空某系统任意用户密码重置

详细说明：

http://ffp.okair.net/welcome.action
奥凯航空祥云俱乐部
经测试之前牛哥提交的漏洞已经修复，但是还是存在重大隐患。在输入正确手机验证码后返回包里的输入新密码页面里有一段代码
<input name="ID" value="140720" type="hidden">
只要更改value值即可重置其他用户的密码，试想如果遍历这个值，恐怕全部用户的密码都会被快速重置
该返回包如下

HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
Content-Type: text/html;charset=utf-8
Date: Mon, 21 Mar 2016 01:48:47 GMT
Content-Length: 13925
<!doctype html>
<html>
<head>
<meta charset="utf-8">
<title>å¥¥å¯èªç©º</title>
<!--[if lt IE 9]>  
<script src="/content/js/html5shiv.js" ></script>
<script src="/content/js/respond.min.js" ></script>
<![endif]-->
<link href="/content/css/bootstrap.css" rel="stylesheet">
<link href="/content/css/common.css" rel="stylesheet">
<!--[if IE 8]>
<link href="/content/css/forie.css" rel="stylesheet">
<script src="/content/js/html5shiv.js" ></script>
<![endif]-->
<!--[if IE 7]>
<script>
alert("æµè§å¨çæ¬è¿ä½ï¼æå¯è½ä¼å½±åæ¨çæµè§ãè¯·ä½¿ç¨é«çæ¬æµè§å¨ï¼~")
</scrtipt>
<![endif]-->
<script src="/content/js/jquery.min.1.10.1.js"></script>
<script>
	var webPath = "";
</script>
</head>
<body>
	<div style="width: 100%; background: #fff;">
<div class="container header overflow-h">
	<a href="welcome.action" class="left"> <img
		src="/content/images/top_03.jpg"
		style="display: block; margin-top: 30px"></a> <a
		href="javascript:void(0);" class="left"></a>
	<div class="right mt30 ml30 no-login-infor"
		style="display: block; margin-top: 10px">
<span style="color:#FF5809">æ¥è®¿é®é91æ¬¡ï¼æ»è®¿é®é162979æ¬¡</span><br/><br/>		<a href="ffplogin.action">ç»å½</a> | <a href="ffpreg.action">æ³¨å</a>
	</div>
	<span class="language  hidden-sm hidden-xs"> <img
		src="/content/images/top_06.jpg"
style="display: block; margin-top: 20px"></span>
</div>
</div>
<div class="navbar-wrapper">
<div
	style="width: 100%; height: 5px; overflow: hidden; margin: 0; padding: 0; background: #d55912;"></div>
<div class="container hidden-xs">
	<ul class="nav-tab">
		<li><a class="menu_a" href="welcome.action"><span>é¦é¡µ</span></a></li>
		<li><a class="menu_a"><span>æçè´¦æ·</span></a>
			<div class="sec_menu shadow">
				<div class="col-lg-3 col-md-3 col-sm-4">
					<div class="overflow-hid" style="margin: 0 auto">
						<hgroup class="mt20 text-align-l">
							<p style="text-align: center">
								<img src="/content/images/tx_06.jpg">
							</p>
							<p class="overflow-hid"
								style="text-align: center; width: 150px; margin: 0 auto">
								<a class="primary-btn-md left" href="ffplogin.action">ä¼åç»å½</a>
								<a class="inq-btn-md left ml10" href="ffpreg.action">æ³¨å</a>
							</p>
							<p class="clear"></p>
							<p class="overflow-hid" style="text-align: center">å å¥ä¼åä¿±ä¹é¨ä¹äº«æ´å¤æå¡!</p>
						</hgroup>
				</div>
			</div>
			<div class="col-lg-9 col-md-9  col-sm-8">
				<div class="col-lg-6 col-md-6  col-sm-6">
					<hgroup class="sec_menu_line">
						<h4>
							<a href="accountinfo.action">è´¦æ·æ±æ»</a>
						</h4>
						<p>è´¦æ·ä¿¡æ¯æ»æ±ãéç¨åå¨åå¡çº§å«æç</p>
					</hgroup>
				</div>
				<div class="col-lg-6 col-md-6  col-sm-6">
					<hgroup class="sec_menu_line">
						<h4>
							<a href="memberaccount.action">è´¦æ·æç»</a>
						</h4>
						<p>æ¥çæ¨çè´¦æ·éç¨åèªç©ºæ´»å¨</p>
					</hgroup>
				</div>
				<div class="col-lg-6 col-md-6  col-sm-6">
					<hgroup class="sec_menu_line">
						<h4>
							<a href="personalinfo.action">ä¸ªäººä¿¡æ¯ç®¡ç</a>
						</h4>
						<p>ç®¡çæ¨çè´¦æ·</p>
					</hgroup>
				</div>
				<div class="col-lg-6 col-md-6  col-sm-6">
					<hgroup class="sec_menu_line">
						<h4>
							<a href="beneficialinfo.action">åè®©äººç®¡ç</a>
						</h4>
						<p>ç®¡çæ¨çåè®©äººä¿¡æ¯</p>
					</hgroup>
				</div>
						</div>
					</div></li>
		<li><a class="menu_a"><span>éç¨ç´¯ç§¯</span></a>
			<div class="sec_menu shadow">
				<div class="col-lg-3 col-md-3 col-sm-4">
					<div class="overflow-hid" style="margin: 0 auto">
						<hgroup class="mt20 text-align-l">
							<p style="text-align: center">
									<img src="/content/images/lc_06.jpg">
							</p>
							<p class="clear"></p>
							<p class="overflow-hid" style="text-align: center">ç§¯ç´¯æ´å¤çäº«ä¼æ ï¼</p>
						</hgroup>
				</div>
			</div>
			<div class="col-lg-9 col-md-9  col-sm-8">
				<div class="col-lg-6 col-md-6  col-sm-6">
					<hgroup class="sec_menu_line">
						<h4>
							<a href="rule!show.action?ruletype=4">é£è¡éç¨</a>
						</h4>
						<p>å¥¥å¯èªç©ºéç¨ç´¯ç§¯è§åæ å</p>
					</hgroup>
				</div>
				<div class="col-lg-6 col-md-6  col-sm-6">
					<hgroup class="sec_menu_line">
						<h4>
							<a href="javascript:void(0);">å¶ä»åä½ä¼ä¼´éç¨</a>
						</h4>
						<p>å»ºè®¾ä¸ï¼æ¬è¯·æå¾</p>
					</hgroup>
				</div>
				<div class="col-lg-6 col-md-6  col-sm-6">
					<hgroup class="sec_menu_line">
						<h4>
							<a href="mileageretroinfo.action">éç¨è¡¥ç»</a>
						</h4>
						<p>éç¨è¡¥ç»ä¿¡æ¯æäº¤åè¡¥ç»é¡»ç¥</p>
					</hgroup>
				</div>
				<div class="col-lg-6 col-md-6  col-sm-6">
					<hgroup class="sec_menu_line">
						<h4>
							<a href="standard.action">åå¥æ åæ¥è¯¢</a>
						</h4>
						<p>åå¥æ åæ¥è¯¢</p>
					</hgroup>
				</div>
						</div>
					</div></li>
		<li><a class="menu_a"><span>éç¨åæ¢</span></a>
			<div class="sec_menu shadow">
				<div class="col-lg-3 col-md-3 col-sm-4">
					<div class="overflow-hid" style="margin: 0 auto">
						<hgroup class="mt20 text-align-l">
							<p style="text-align: center">
									<img src="/content/images/dh_07.jpg">
							</p>
							<p class="clear"></p>
							<p class="overflow-hid" style="text-align: center">éç¨è¶å¤ï¼åæ¢è¶å¤ï¼</p>
						</hgroup>
				</div>
			</div>
			<div class="col-lg-9 col-md-9  col-sm-8">
				<div class="col-lg-6 col-md-6  col-sm-6">
					<hgroup class="sec_menu_line">
						<h4>
							<a href="shopping!av.action">å¥å±æºç¥¨æ°éæ¥è¯¢</a>
						</h4>
						<p>æ¥è¯¢åæ¢å¥å±æºç¥¨æ°é</p>
					</hgroup>
				</div>
				<div class="col-lg-6 col-md-6  col-sm-6">
					<hgroup class="sec_menu_line">
						<h4>
							<a href="javascript:void(0);">åæ¢åè±</a>
						</h4>
						<p>å»ºè®¾ä¸ï¼æ¬è¯·æå¾</p>
					</hgroup>
				</div>
				<div class="col-lg-6 col-md-6  col-sm-6">
					<hgroup class="sec_menu_line">
						<h4>
							<a href="mall.action">éç¨åå</a>
						</h4>
						<p>éè¿éç¨åæ¢ææ°æçåå</p>
					</hgroup>
				</div>
				<div class="col-lg-6 col-md-6  col-sm-6">
					<hgroup class="sec_menu_line">
						<h4>
							<a href="rule!show.action?ruletype=1">å¦ä½åå¥</a>
						</h4>
						<p>åå¥è§åä»ç»</p>
					</hgroup>
				</div>
						</div>
					</div></li>
		<li><a class="menu_a"><span>æ´»å¨ä¸åº</span></a>
			<div class="sec_menu shadow">
				<div class="col-lg-3 col-md-3 col-sm-4">
					<div class="overflow-hid" style="margin: 0 auto">
						<hgroup class="mt20 text-align-l">
							<p style="text-align: center">
									<img src="/content/images/hd_07.jpg">
							</p>
							<p class="clear"></p>
							<p class="overflow-hid" style="text-align: center">ç²¾å½©æ´»å¨æåä¸ï¼</p>
						</hgroup>
				</div>
			</div>
			<div class="col-lg-9 col-md-9  col-sm-8">
				<div class="col-lg-6 col-md-6  col-sm-6">
					<hgroup class="sec_menu_line">
						<h4>
							<a href="ffppro!listPro.action?protype=1">èªç©ºä¿éæ´»å¨</a>
						</h4>
						<p>èªç©ºäº§åä¼æ èµè®¯</p>
					</hgroup>
				</div>
				<div class="col-lg-6 col-md-6  col-sm-6">
					<hgroup class="sec_menu_line">
						<h4>
							<a href="ffppro!listPro.action?protype=2">ä¿±ä¹é¨æ´»å¨</a>
						</h4>
						<p>ä¿±ä¹é¨æ´»å¨æ©ç¥é</p>
					</hgroup>
				</div>
				<div class="col-lg-6 col-md-6  col-sm-6">
					<hgroup class="sec_menu_line">
						<h4>
							<a href="javascript:void(0);">åä½ä¼ä¼´æ´»å¨</a>
						</h4>
						<p>å»ºè®¾ä¸ï¼æ¬è¯·æå¾</p>
					</hgroup>
				</div>
						</div>
					</div></li>
		<li><a class="menu_a"><span>åä½ä¼ä¼´</span></a>
			<div class="sec_menu shadow">
				<div class="col-lg-3 col-md-3 col-sm-4">
					<div class="overflow-hid" style="margin: 0 auto">
						<hgroup class="mt20 text-align-l">
							<p style="text-align: center">
									<img src="/content/images/hb1_07.jpg">
							</p>
							<p class="clear"></p>
							<p class="overflow-hid" style="text-align: center">ç²¾å½©æ´»å¨æåä¸ï¼</p>
						</hgroup>
				</div>
			</div>
			<div class="col-lg-9 col-md-9  col-sm-8">
				<div class="col-lg-6 col-md-6  col-sm-6">
					<hgroup class="sec_menu_line">
						<h4>
							<a href="javascript:void(0);">èªç©ºç±»</a>
						</h4>
						<p>æ¬è¯·æå¾</p>
					</hgroup>
				</div>
				<div class="col-lg-6 col-md-6  col-sm-6">
					<hgroup class="sec_menu_line">
						<h4>
							<a href="javascript:void(0);">éåºç±»</a>
						</h4>
						<p>æ¬è¯·æå¾</p>
					</hgroup>
				</div>
				<div class="col-lg-6 col-md-6  col-sm-6">
					<hgroup class="sec_menu_line">
						<h4>
							<a href="javascript:void(0);">é¶è¡ç±»</a>
						</h4>
						<p>æ¬è¯·æå¾</p>
					</hgroup>
				</div>
				<div class="col-lg-6 col-md-6  col-sm-6">
					<hgroup class="sec_menu_line">
						<h4>
							<a href="javascript:void(0);">ç§è½¦ç±»</a>
						</h4>
						<p>æ¬è¯·æå¾</p>
					</hgroup>
				</div>
				<div class="col-lg-6 col-md-6  col-sm-6">
					<hgroup class="sec_menu_line">
						<h4>
							<a href="javascript:void(0);">ç¹çº¦å®¢æ·</a>
						</h4>
						<p>æ¬è¯·æå¾</p>
					</hgroup>
				</div>
				<div class="col-lg-6 col-md-6  col-sm-6">
					<hgroup class="sec_menu_line">
						<h4>
							<a href="javascript:void(0);">ä¿é©ç±»</a>
						</h4>
						<p>æ¬è¯·æå¾</p>
					</hgroup>
				</div>
						</div>
					</div></li>
		<li><a class="menu_a"><span>å³äºä¿±ä¹é¨</span></a>
			<div class="sec_menu shadow">
				<div class="col-lg-3 col-md-3 col-sm-4">
					<div class="overflow-hid" style="margin: 0 auto">
						<hgroup class="mt20 text-align-l">
							<p style="text-align: center">
									<img src="/content/images/jlb_07.jpg">
							</p>
							<p class="clear"></p>
							<p class="overflow-hid" style="text-align: center">èªè±ªçå°è´µçç¥¥äºä¿±ä¹é¨ï¼</p>
						</hgroup>
				</div>
			</div>
			<div class="col-lg-9 col-md-9  col-sm-8">
				<div class="col-lg-6 col-md-6  col-sm-6">
					<hgroup class="sec_menu_line">
						<h4>
							<a href="instruction!show.action?instype=JLBJS">ä¿±ä¹é¨ä»ç»</a>
						</h4>
						<p>å³äºå¥¥å¯ä¿±ä¹é¨ä»ç»</p>
					</hgroup>
				</div>
				<div class="col-lg-6 col-md-6  col-sm-6">
					<hgroup class="sec_menu_line">
						<h4>
							<a href="instruction!show.action?instype=HYSC">ä¼åæå</a>
						</h4>
						<p>ä¿±ä¹é¨ä¼åæåé¡»ç¥</p>
					</hgroup>
				</div>
				<div class="col-lg-6 col-md-6  col-sm-6">
					<hgroup class="sec_menu_line">
						<h4>
							<a href="instruction!show.action?instype=HYKJS">ä¼åå¡ä»ç»</a>
						</h4>
						<p>å¥¥å¯ä¼åå¡ä»ç»</p>
					</hgroup>
				</div>
				<div class="col-lg-6 col-md-6  col-sm-6">
					<hgroup class="sec_menu_line">
						<h4>
							<a href="instruction!show.action?instype=HYQY">é«ç«¯ä¼åæç</a>
						</h4>
						<p>é«çº§ä¼åæçä»ç»</p>
					</hgroup>
				</div>
						</div>
					</div></li>
					</div>
					</div>
	<!--ä»¥ä¸æ¯å¯¼èª-->
	<div class="container mt25" style="background: #fff; height: 400px">
		<h3 style="color: #39c2ff;" class="left">æ¾åå¯ç </h3>
		<div class="shopping-trolley">
			<a href="javascript:void(0);">æäº¤ç³è¯·</a> -<a href="javascript:void(0);">éªè¯èº«ä»½</a>
			-<a href="javascript:void(0);" class="pitch-on">è®¾ç½®æ°å¯ç </a> -<a
				href="javascript:void(0);">æ¾åæå</a>
		</div>
		<div class="col-md-12 col-lg-12 col-sm-12 mb25"
			style="border-top: solid 2px #0076a0"></div>
		
			<form action="resetpwd!resetThird.action" id="passwordform"
				method="post">
				<div class="col-md-12 col-lg-12 col-sm-12" style="background: #fff;">
					<input name="ID" value="140720" type="hidden">
					<input name="verifymode" value="sms"
						type="hidden"> <input name="verifytype"
						value="MMCZYZ" type="hidden">
					<div class="col-md-2 col-lg-2 col-sm-2 text-center li-line2">
						æ°å¯ç ï¼</div>
					<div class="col-md-1 col-lg-1 col-sm-1 text-center li-line2">
						<input type="password" style="height: 25px; line-height: 25px; padding-left: 2%;" name="newb2cpassword" id="newb2cpassword" />
					</div>
				</div>
				<div class="col-md-12 col-lg-12 col-sm-12" style="background: #fff;">
					<div class="col-md-2 col-lg-2 col-sm-2 text-center li-line2">
						ç¡®è®¤å¯ç ï¼</div>
					<div class="col-md-1 col-lg-1 col-sm-1 text-center li-line2">
						<input type="password" style="height: 25px; line-height: 25px; padding-left: 2%;" name="repassword" id="repassword" />
					</div>
				</div>
			</form>
		
		
		<div class="col-md-12 col-lg-12 col-sm-12 text-align-r li-line2 mb30">
			
				<a href="javascript:void(0);" id="btnCommit"
					style="background: #ff7f1e; padding: 10px 30px; color: #fff;">ç¡®è®¤</a>
			
		</div>
	</div>
	</div>
	<!--è¡¨æ ¼ç»æ-->
	</div>
	</div>
	<div class="footer mt25">
		<div class="container">
			<div class="col-md-12 col-lg-12 col-sm-12">
				<span class="left">Â©2005 å¥¥å¯èªç©ºæéå¬å¸çæææ ä¿çæææå© äº¬ICPå¤05046014å·</span> <label><img
					src="/content/images/footer_42.jpg"></label>
			</div>
		</div>
	</div>
</body>
<script type="text/javascript">
	$(document).ready(function() {
		InitCommit(); //åå§åç»å½åè½
	});
	//åå§åç»å½åè½
	function InitCommit() {
		$("#btnCommit").click(function() {
			var varOption = {};
			var arrData = {};
			
			if($.trim($("#newb2cpassword").val())!=$.trim($("#repassword").val())){
				alert("ä¸¤æ¬¡å¯ç ä¸ä¸ç½®ï¼");
				return;
			}
			arrData.newb2cpassword = $.trim($("#newb2cpassword").val());
			if (!arrData.newb2cpassword || arrData.newb2cpassword.length == 0) {
				alert("æ°å¯ç ä¸è½ä¸ºç©º!");
				return;
			}
			$("#passwordform").submit();
		});
	}
</script>
</html>

漏洞证明：

http://ffp.okair.net/ffplogin.action
奥凯祥云登陆界面，测试账号为@牛小帅之前提供的证件号码123456

点击下一步，后台自动给手机发了一条验证码并跳转至下面页面

输入任意验证码000000点击下一步抓包，注意数据包里的ID值119066，记录下来

上面的包提交后返回了一个页面如下，是跳转到报错页面的，这里直接把之前获取的转到输入新密码页面的数据包整个替换上去，也就是详细说明中那一大段代码

然后搜索140720，把他改成牛哥的id 119066提交

跳转至输入新密码页面输入新密码TEST000000

提示更改成功

尝试登陆成功

修复方案：

版权声明：转载请注明来源黑骑士@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2016-03-23 18:29

厂商回复：

非常感谢您帮助我们改进，确实存在此漏洞，目前正在修复中。

漏洞评价：

评价

2016-03-21 15:41 | 牛小帅 ( 普通白帽子 | Rank:1466 漏洞数:351 | 1.乌云最帅的男人 ...)

关注一下啥姿势
2016-03-22 09:33 | 黑骑士 ( 实习白帽子 | Rank:83 漏洞数:13 | 黑色的骑士守护者光明)

@牛小帅借用下牛哥的测试账号哈

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0187223

漏洞标题：奥凯航空某系统重置任意用户密码重置

相关厂商：奥凯航空

漏洞作者：黑骑士

提交时间：2016-03-21 15:31

修复时间：2016-04-27 14:11

公开时间：2016-04-27 14:11

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：18

漏洞状态：厂商已经修复

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源黑骑士@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0187223

漏洞标题：奥凯航空某系统重置任意用户密码重置

相关厂商：奥凯航空

漏洞作者： 黑骑士

提交时间：2016-03-21 15:31

修复时间：2016-04-27 14:11

公开时间：2016-04-27 14:11

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：18

漏洞状态：厂商已经修复

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0187223"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 黑骑士@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

漏洞概要关注数(24) 关注此漏洞

漏洞作者：黑骑士

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源黑骑士@乌云