当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-018219

漏洞标题:海尔集团任意用户密码重置漏洞详谈,非暴力破解

相关厂商:海尔集团

漏洞作者: xfkxfk

提交时间:2013-02-01 11:08

修复时间:2013-03-18 11:09

公开时间:2013-03-18 11:09

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-02-01: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-03-18: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

海尔集团任意用户密码重置漏洞,还是个非主流的。
不用burp suite,不在暴力,只要温柔的一击,就可重置任意用户密码了。
预知详情,请见详细说明。

详细说明:

测试环境:
攻击者:xfkxfk
受害者:peterhang,admin


这里先说一下我们的前期准备工作,因为我们在找回密码是需要用户名,所以用户名是个问题。
但是海尔给了我们条件,就是我们可以在查看自己的消息时,url中有个id号,这是我们可以更改这个消息id号就能看到任意用户的消息了,哈哈,太好了,而且在这些消息中就有用户名,这不就好办了,各种用户名就到手了。

.jpg


如图,我们得到了peterhang的用户名,下面开始重置他的密码之旅。。。

=====第一种通过手机找回密码=====


1、首先登陆到海尔的官网,登陆地址:

http://user.haier.com/ids/cn/haier_login.jsp?returnUrl=http://www.haier.com/cn/


这里不登陆,我们点击忘记密码

.jpg


2、输入peterhang的用户名:

peterhang.jpg


3、选择手机找回方式:

.jpg


4、验证码此时已经发到peterhang的手机上了,下面输入验证码开始验证。

关键就这这里,一般情况下我们都会想到开始暴力破解验证码,然后单机“马上验证”开始验证。但是这里不惜要进行暴力破解,我们可以再输入框里随便输入6个数字,然后回车就会跳到第三步重新设置密码,哈哈,这个太非主流了,不用验证就能绕过,给力。。。


enter成功输入验证码.jpg


5、成功绕过验证码,开始设置新密码:

.jpg


6、成功设置新密码:

.jpg


7、利用新密码成功登陆:

peterhang账户.jpg


8、小结:这里我们成功绕过了验证码。要是要通过暴力破解验证码也是很easy的。
首先这里的验证码发到手机后是没有过期限制的,验证码为6个数字,有个很奇怪的问题就是,我试了10几次,所有的验证码都是由0123456这7个数字随即组合成6位数的,这样破解不就更快了,你说easy不?!

=====第二种通过邮箱找回密码=====


1、和手机找回密码一样在选择找回密码方式时选择通过邮箱方式找回。
这里我们用admin的账户进行测试。

admin账户.jpg


.jpg


2、现在重置密码的链接已经发到admin的邮箱了,这里泄漏了admin的邮箱地址哦!!!
重置密码的链接地址是这样的:

http://user.haier.com/ids/cn/forget_password_reset.jsp?code=********
最终变化的就是code参数,这个参数是有6位数字通过base64编码的值,而且我也测试了10几次,把code参数值解码后也是有0123456这个7个数字随即组成的6位数。这样写个脚本暴力一下岂不是也很容易得到重置密码的连接,你数easy不?!

漏洞证明:

见详细说明。

修复方案:

1、至于随便一个验证码在回车,就能绕过这个不知道你们怎么设置的,分析了一下想不通,所以我没办法。
2、上面的两种方法,加个次数限制,我说很easy。
3、还有,加个权限限制,任意用户信息查看就能修好了。
4、求20rank,求礼物。

版权声明:转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝