当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0104384

漏洞标题:联想中国可绕过https抓包限制+验证码限制+IP限制进行暴力破解&撞库

相关厂商:联想

漏洞作者: 路人甲

提交时间:2015-03-30 16:23

修复时间:2015-05-15 09:52

公开时间:2015-05-15 09:52

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-30: 细节已通知厂商并且等待厂商处理中
2015-03-31: 厂商已经确认,细节仅向厂商公开
2015-04-10: 细节向核心白帽子及相关领域专家公开
2015-04-20: 细节向普通白帽子公开
2015-04-30: 细节向实习白帽子公开
2015-05-15: 细节向公众公开

简要描述:

你可以看不惯我装逼,但不可以阻止我装逼。by:helen

详细说明:

首先来到测试站点:http://shop.lenovo.com.cn/index.html,看到站点非https加密协议的

11.png


第六感告诉我肯定是有https协议的,然后点击登陆,来到了登陆的界面,可以看到果然是https加密协议

22.png


https的话是不能抓包的,抓不到包也就不能谈什么暴力破解和撞库了,这个时候就拿出我偶然的一次发现的轻松“绕过https”加密协议的方法来了~去掉s敲回车,可以已经轻松绕过了https加密协议~

33.png


这个时候就可以直接抓包了,看到用户名和密码全部明文传输

44.png


然后就可以去撞库了,撞库的时候还有一些问题的:验证码问题和IP限制问题
先说验证码,一开始登陆的时候是没有验证码的,但是多次登陆失败以后会有,有了以后过一会儿或者换个浏览器就没了,这个的话解决就很简单了,因为我发现这个IP限制只是针对同一账号的暴力破解,我们是撞库,一个账号只撞一次,所以不会出现这个问题,暴力破解想要解决验证码问题也很简单:直接在包中设置浏览器变量更改就可以,或者设置延迟撞库也可以的,再或者和下面说的IP问题合在一起也可以

55.png


再说IP限制,这里没有测试多少次之后,反正就是多次撞库之后会说频繁登陆,这里直接burp更换IP然后继续撞库就可以了

66.png


最后附上一张成功截图,这里为了不造成破坏,只跑了5个账号就停了,而且是我自己注册来模拟撞库的,只是为了证明一下漏洞可行

77.png


我擦这个洞本来是漏洞盒子的众测项目,结果我编辑了一上午,提交时候说参数错误,然后看了一下项目结束了,找了找联想又没有安全响应平台,瞬间哭瞎在厕所啊。。幸好有我大乌云
这个洞经历一波三折,撞库出来的整个联想业务账号通用,强烈要求上首页
本该出现在众测中的拿点奖金补贴家用的,结果错过了时间,编辑了一上午饭都没吃发个小礼物行不。。

漏洞证明:

如上

修复方案:

这里主要是https的“绕过”,去掉s可以绕过https加密协议时无意间发现的,虽然有点小儿科了,但是测试过很多大网站都可以利用这种方法轻松绕过(包括携程,去哪儿等),具体的修复我也不得而知了,如果不能绕过https也就不能进行后面的步骤,至于验证码,是针对某个用户暴力破解的,只要更换一下IP就可以把验证码去掉了,建议验证码一直有,IP的话这个真不知道了。。

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-03-31 09:51

厂商回复:

感谢您对联想安全工作的支持,谢谢

最新状态:

暂无