当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-077788

漏洞标题:到喜啦重置任意用户密码

相关厂商:到喜啦

漏洞作者: 小饼仔

提交时间:2014-09-29 16:31

修复时间:2014-11-13 16:34

公开时间:2014-11-13 16:34

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-09-29: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-11-13: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

那啥,挖掘机哪家强?快回答我~

详细说明:

1.网站 www.daoxila.com 首先注册个号,这里为 wooyunxbz@163.com

注册账号.jpg


2. 到登入界面点击忘记密码

找回密码.jpg


3.这里有两种方式,邮箱和手机,这里先测试邮箱

邮箱找回.jpg


4.网站会向邮箱发送一封邮件

发送密码重置链接到邮箱.jpg


5.打开邮箱,点击里面的链接

邮箱内容.jpg


6.然后到修改密码界面,账号显示为wooyunxbz@163.com,不能更改,然后输入新密码

邮箱输入新密码.jpg


7.Burp抓包

burp抓包.jpg


8.发现有一个account的参数,直接修改成任意一个账号,之前去注册界面测试过admin@daoxila.com这个账号已经被注册,所以就决定是你了

burp修改账户.jpg


9.修改成功,转到登入界面,账号admin@daoxila.com 密码wooyun123

成功转到登入界面.jpg


10.成功登入,账号显示为admin@daoxila.com

成功登入.jpg


那这个时候邮箱账号怎么来,之前我找到过一个SQL注入, WooYun: 到喜啦SQL注入一枚泄露用户订单等信息 ,里面可以拿到邮箱、手机号
前面找回密码界面还有个通过手机找回密码,首先登入原来的账号,然后到基本资料里面,填写手机号,上面提示手机号也可以作为登入用户名,我拿自己的手机号测试了下

基本资料填写手机号.jpg


然后到找回密码界面,选择手机,然后会给手机发一个6为验证码,没有说多久有效,可能可以爆破,没测试。然后填写完后,会到重置密码界面,这个就和刚才邮箱的类似了,burp抓包,修改account参数,
这里通过前面的SQL注入,拿到一些手机号,
13611844158
13761544277
13341809765
13917217272
13818712956
15501710887
13301906121
随便挑一个

burp手机2.jpg


成功登入

手机成功.jpg


漏洞证明:

那啥,挖掘机哪家强?快回答我~

修复方案:

山东济南找蓝翔

版权声明:转载请注明来源 小饼仔@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝