当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-024474

漏洞标题:酒仙网窃取任意账户的方法,加个雷吧

相关厂商:酒仙网

漏洞作者: 小川

提交时间:2013-05-25 19:57

修复时间:2013-07-09 19:58

公开时间:2013-07-09 19:58

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-05-25: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-07-09: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

窃取任意账户,只要他有邮箱

详细说明:

首先注册一个账户。
注册好了以后,去验证一下自己的邮箱,退出系统,做忘记密码的操作,采用邮箱的方式取回密码。
忘记密码后,酒仙网会给你发个邮件,点击他的重置密码的链接后会跳转到重置页,如下:

.PNG


输入自己要重置的密码,截获发送的请求如下:

捕获.PNG


注意到图上的两个参数了吧
传递了uid和uname用户名,那么猜想一下,只要这两个参数符合条件,是否就可以重置对应的用户了呢?
关键是这两个值如何获取
回到注册页面,注册功能是不可能注册相同账户的,以此可以猜测用户名
曾经看过@路人甲那厮似乎报过酒仙网的问题
那它肯定注册账户了,我们来忘记他的密码试试,如下图

捕获.PNG


我们截获下发送邮件的请求

捕获.PNG


这个请求传递了邮箱地址,我试过改掉邮箱为自己的邮箱,来试试是否可以把重置链接发给我但是不行,但是这个功能做的也不好,传递参数中暴露了邮箱,可以说泄露用户信息,你看,路人甲就郁闷了
这条请求没什么,我们放过去
放过去后会触发另一个请求如下图:

.PNG


可以看到uer_id暴露给我们了
其实忘记密码后,浏览器上的链接就已经暴露了uid的值,以上只是说一下传递邮箱的问题。
我们再回到我们刚才重置密码的请求处
替换uid,uname为对应的值如下图:

捕获.PNG


发送过去后

捕获.PNG


捕获.PNG

漏洞证明:

捕获.PNG


捕获.PNG

修复方案:

感谢路人甲的无私奉献,提供账户为我们测试。虽然这个路人甲可能不是乌云上的路人甲
这个系统做的很烂,包括还有可以修改邮箱等信息,可能又联系不到厂商,又被扼杀了。唉!
修复方案:严格校验用户请求参数,不要从参数中获取敏感信息,采用session信息验证身份。
另外说一下,某个人把我邮箱密码改了,小子,别让我找到你,川哥很生气,后果很严重。

版权声明:转载请注明来源 小川@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝