漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-025263
漏洞标题:城通网盘VIP订单存在业务隐患,可在线提权
相关厂商:城通网盘
漏洞作者: imlonghao
提交时间:2013-06-06 17:46
修复时间:2013-07-21 17:47
公开时间:2013-07-21 17:47
漏洞类型:设计缺陷/逻辑错误
危害等级:中
自评Rank:10
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-06-06: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-07-21: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
城通网盘(400gb.com)VIP订单存在隐患,一键开通VIP+系统管理员 (不过貌似没什么权限)
貌似也很久没发洞了...-,-;;
一直想发些好玩的东西,但,没找到 - -
http://imlonghao.com/post/2013-06-06/城通网盘vip订单存在业务隐患 (骗流量的.在已修复的情况下可能会公开 -,-)
详细说明:
城通网盘对VIP服务进行支付时,运用的是相对安全的订单id支付,相对于直接使用金额来传输的话相对安全一些。
但是,对于订单的id而言,和大多数厂商一样,都是采用简单的1,2,3,4,......,n-1,n这种格式的,因此,对于这种id格式的,可以进行遍历,这貌似在《白帽子讲web安全》里面有这个剧情...
自行查阅课本..- -
简单的看了看,城通网盘总共有9个不同的套餐
第一个是2
这里就发现问题了,第一个不是1,而是2,说明id=1的时候要么被删除了,要么是另外一个不显示的方案。
于是乎,将购买链接改成:
提交,妥妥的存在这个订单..
完了发现,这还是个神奇的订单。。
免费开通了个VIP,然后头衔变成了系统管理员.....
可见,viptype=1这个套餐为管理员用的一个不对外公开的套餐。
但是,由于viptype可以被遍历,于是=1这个套餐也就被公开掉了。
(另外,可以越权删除别人的文件,请自行测试。
若需帮助,请指出!)
漏洞证明:
修复方案:
viptype=1这种东西还是自己后台对着指定用户改吧。
测试用户:imlonghao 以及 wooyun
可以试试将viptype这个参数改为比较随机的、不容易被遍历的参数
viptype=r14718y4
viptype=hg894h0g
viptype=g3d289dg
etc.
版权声明:转载请注明来源 imlonghao@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝