当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-077651

漏洞标题:中国电信数字教育资源公共服务平台任意密码重置之二(危及三千多万用户)

相关厂商:cncert国家互联网应急中心

漏洞作者:

提交时间:2014-09-28 16:53

修复时间:2014-11-12 16:56

公开时间:2014-11-12 16:56

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:18

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-09-28: 细节已通知厂商并且等待厂商处理中
2014-09-30: 厂商已经确认,细节仅向厂商公开
2014-10-10: 细节向核心白帽子及相关领域专家公开
2014-10-20: 细节向普通白帽子公开
2014-10-30: 细节向实习白帽子公开
2014-11-12: 细节向公众公开

简要描述:

一种姿势怎么够?
换个位置继续!

详细说明:

WooYun: 中国电信数字教育资源公共服务平台任意密码重置(危及三千多万用户)
edu.189.cn 中国电信教育云 数字教育资源公共服务平台
应用产品有:教育云,人人通,班班通,翼校通,天翼翼校通,天翼家校通,家校互动平台,家校互动门户,家校沟通平台,家校微博
上述提交的漏洞是通过手机验证得出结论,刚刚想想可能邮箱找回也会有问题
于是...真有

漏洞证明:

a1.jpg


验证身份方式选择邮箱验证,点击发送邮箱之后会跳转到http://edu.189.cn/portal/passwordReset/toFinishSendEmail.do?userDto.userId=34188867

a2.jpg

从此处获取到一个关键的userDto.userId参数
---------------------------------------------------------------------------
然后就是任意密码修改了,构造如下POST:

http://edu.189.cn/portal/passwordReset/resetPassword.do?_d=1411889822578
userDto.userId=34189287&userDto.password=MTIzNDU2

a3.jpg

userDto.userId可以从上面的发送邮箱后跳转的链接获取,userDto.password是新密码BASE64加密
就不修改他人帐号示例了,userDto.userId 34188867是我自己注册的帐号,对应用户名为wooyun2
审核可以自己构造修改密码登录测试。

修复方案:

其实发送到邮箱的找回密码的链接是类似
http://edu.189.cn/portal/passwordReset/validEmail.do?passKey=c1bXX329-7d48-4307-9269-4e2b1322603X
刚开始还以为是有验证,结果发现是我想多了..passKey这个根本无关紧要
开发无下限啊..

版权声明:转载请注明来源 @乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2014-09-30 09:09

厂商回复:

最新状态:

暂无