当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-017322

漏洞标题:麦考林任意妹纸密码重置漏洞(非暴力)

相关厂商:上海麦考林信息科技有限公司

漏洞作者: se55i0n

提交时间:2013-01-15 11:00

修复时间:2013-01-20 11:01

公开时间:2013-01-20 11:01

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-01-15: 细节已通知厂商并且等待厂商处理中
2013-01-20: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

看你们前面好多洞洞都忽略了,哎,只为跟到 @风萧萧 凑热闹,收不收是你们的事情!

详细说明:

1)前面有两位基友发了麦考林的密码重置逻辑设计问题,我情不自禁也看了下;注册一个用户,来到密码重置功能发现可通过用户名或者邮箱找回密码;

8.jpg


2)输入用户名点击确认,发现可通过两种方式找回密码:注册邮箱(直接发送)、绑定手机(需填写注册手机号码),这里我们选择通过注册邮箱方式;

9.jpg


3)登陆对应邮箱查收系统发送的密码重置链接;

0.jpg


4)我们发现密码重置链接看上去貌似“滴水不漏”,有重置密钥“p1”、与之相对应的邮件帐号“p2”;作为一个wooyun白帽子,我们都不相信所谓的滴水不漏,于是重新使用密码重置功能并抓包分析;

4.jpg


5)分析发现在这个密码重置过程中,系统似乎交互了一些不明数据,这些数据是干什么的呢,于是再次查看邮箱第二次收到的密码重置连接,将两次收到的密码重置链接进行对比,发现两次收到的密码重置链接是一样的;
6)抓包截获到的系统交互数据:

{"decrypt_email":"EJ_g_1_OX7w1BDNwTJ2iH3a8hULouLhlnkL4O6Mg2HBhtWShjSFrCElW6hPCLPjcuO1d","decrypt_custno":"1j8D5pO_g_2_w我是隐藏部分hpSvQ_g_3__g_3_","___cache_expire___":"Mon Jan 14 2013 23:51:43 GMT+0800 (China Standard Time)"}


7)收到系统发送的密码重置链接:

http://www.m18.com/gmkt.inc/Member/ForgotMemberPwdSearch.aspx?p1=1j8D5pO_g_2_w我是隐藏部分hpSvQ_g_3__g_3_&p2=xxxxx@sina.com


8)亲,告诉我你发现什么了?是的,截获到的数据包中"decrypt_custno"参数正是我们的密码重置密钥,而且同一用户的密码重置密钥还是固定不变的;
9)好吧,我不会告诉你,其实密码重置链接中的"p2"参数是毫无意义的,直接使用密钥即可重置密码-_-||

5.jpg


10)这里以剑心妹纸的帐号为例子,给大家演示下;
10.1)直接来到邮件发送环节;

2.jpg


10.2)点击发送邮件并抓包,哈哈,这里就不马赛克了;

3.jpg


10.3)有了密钥就直接构造链接链接重置剑心妹纸的帐号咯;

http://www.m18.com/gmkt.inc/Member/ForgotMemberPwdSearch.aspx?p1=T6W_g_2_vO0pyOBYOspiYmVW5w_g_3__g_3_


4.jpg


10.4)就这样把剑心妹纸征服 :)

6.jpg


11)最后,小结下:只要知道用户名(这个是公开的),即可使用邮箱重置密码功能抓包截获对应账户的密码重置密钥,进行密码重置(不需要知道邮箱帐号);且该密钥固定不变,相当于变向长期控制用户账户!!!

漏洞证明:

见详细说明~

修复方案:

你们收了,要发礼物么?

版权声明:转载请注明来源 se55i0n@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-01-20 11:01

厂商回复:

最新状态:

暂无