当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-044069

漏洞标题:360任意用户密码修改(危急360手机卫士、360云盘、360浏览器云同步,可泄露通讯录、短信、通话记录等)

相关厂商:奇虎360

漏洞作者: JiuShao

提交时间:2013-11-26 17:00

修复时间:2014-01-10 17:00

公开时间:2014-01-10 17:00

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-11-26: 细节已通知厂商并且等待厂商处理中
2013-11-26: 厂商已经确认,细节仅向厂商公开
2013-12-06: 细节向核心白帽子及相关领域专家公开
2013-12-16: 细节向普通白帽子公开
2013-12-26: 细节向实习白帽子公开
2014-01-10: 细节向公众公开

简要描述:

360任意用户密码修改(危急360手机卫士、360云盘、360浏览器云同步,可泄露通讯录、短信、通话记录等)
还有某女明星账号哦!
ps:测试了好几个360高管的邮箱,结果人家根本就没用自己的产品...

详细说明:

本小学生记性不好,360账号的密码很及时的忘记了。
于是有了如下情节。
找回账号密码, 然后发了一篇邮件到我邮箱。
http://i.360.cn/findpwd/setpwdfromemail?vc=e%2FwljiqD9WGv%2FwDyS93BghveGh%2FDYG4oMjJwcxGlcnSDZP3qIW4deYwnCpkdbCSZ3ByODXHZYDCx32A46l%2FBXxk6qo5oABIr6ZrywAoPB8DZuX81j%2Bb%2F2w%3D%3D&qid=507290669
这是修改密码的连接地址 有没有发现亮点?
qid=507290669 qid如果被修改别人的是否会有用呢
然后修改为

http://i.360.cn/findpwd/setpwdfromemail?vc=e%2FwljiqD9WGv%2FwDyS93BghveGh%2FDYG4oMjJwcxGlcnSDZP3qIW4deYwnCpkdbCSZ3ByODXHZYDCx32A46l%2FBXxk6qo5oABIr6ZrywAoPB8DZuX81j%2Bb%2F2w%3D%3D&qid=507290670


然后360网站提示可以修改 哦的天啊
那这样的话不是所有的账号都可以改了 为什么会鸡肋呢?
问题是不知道别人的账号啊 进去个人中心也没有这个id提示
别着急 我们继续挖
发现360旗下的一个网站:
http://www.woxihuan.com/

http://www.woxihuan.com/star/timeline?qid=268296138


是不是发现了什么? 没错 qid=268296138
这个qid 我们找的是明星苗圃的
然后构造如下链接:

http://i.360.cn/findpwd/setpwdfromemail?vc=e%2FwljiqD9WGv%2FwDyS93BghveGh%2FDYG4oMjJwcxGlcnSDZP3qIW4deYwnCpkdbCSZ3ByODXHZYDCx32A46l%2FBXxk6qo5oABIr6ZrywAoPB8DZuX81j%2Bb%2F2w%3D%3D&qid=268296138


我们寄出神器 Burpsuite
在利用找回密码链接修改密码时 我们截取它post的包

QQ截图20131126160501.jpg


QQ截图20131126160533.jpg


QQ截图20131126160543.jpg


而且这里还发现 我们在知道邮箱 不知道qid的情况下 也可以修改密码:
首先用自己的账号获取一个360找回密码的url,然后在修改密码时截包

QQ截图20131126155754.jpg


我们把这里的uname修改为要修改密码的目标的邮箱

QQ截图20131126160014.jpg


目标邮箱:410316816@qq.com

QQ截图20131126160014.jpg


可以修改指定邮箱的密码

漏洞证明:

苗圃老师的【我喜欢】

QQ截图20131126162417.jpg


苗圃老师的【360云盘】

QQ截图20131126162343.jpg


手机防盗:

QQ截图20131126161425.jpg


QQ截图20131126170249.jpg


360个人中心:

QQ截图20131126173448.jpg


360浏览器收藏夹

QQ截图20131126210353.jpg


还是手机防盗:

QQ图片20131126174505.jpg


通讯录:

QQ图片20131126174513.jpg


QQ图片20131126174517.jpg


登录之后 恢复通讯录

QQ图片20131126174813.jpg


QQ图片20131126174816.jpg


QQ图片20131126174826.jpg

修复方案:

你比我更懂的。 求礼物。求公仔。

版权声明:转载请注明来源 JiuShao@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-11-26 18:44

厂商回复:

感谢乌云白帽子@JiuShao的反馈,我们已紧急修复此漏洞,并将为您提供一份奖品。经过排查:该漏洞是近日网站程序更新出现的问题,我们将全面检查最近存在异常的“密码找回”操作,并冻结可能有风险的账号,提示用户修改密码,以确保用户账号安全。

最新状态:

暂无