当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0121763

漏洞标题:搜房网某后台几处越权

相关厂商:搜房网

漏洞作者: 小威

提交时间:2015-06-20 21:00

修复时间:2015-08-06 22:44

公开时间:2015-08-06 22:44

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:8

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-20: 细节已通知厂商并且等待厂商处理中
2015-06-22: 厂商已经确认,细节仅向厂商公开
2015-07-02: 细节向核心白帽子及相关领域专家公开
2015-07-12: 细节向普通白帽子公开
2015-07-22: 细节向实习白帽子公开
2015-08-06: 细节向公众公开

简要描述:

就是越权

详细说明:

位置:http://dianpu.fang.com/
随意注册帐号进入后台,装修帮后台!
1.店铺公告这里。
注册了两个帐号做测试,账户A随意发布一条店铺公告,得到店铺公告链接
账户B也同样发布一条。 在账户A里面用审查元素把账户B的链接ID替换为自己的店铺公告的链接ID,然后编辑,可以直接编辑账户B的公告内容。
测试中账户A的公告ID为 358848 账户B的公告ID为363721 证明如下图:
1)账户B 发布公告内容:

001.jpg


2)审查元素中把账户B的公告链接ID替换掉账户A的ID

003.jpg


3)点击编辑后显示账户B的公告内容 随意修改后保存

002.jpg


4)到账户B中刷新下,看看是否成功!可以看到已经被修改掉了!

000.jpg


2.发布装修案例这里
1)随意发布一个装修案例,会得到这个装修案例的ID。如下图

004.jpg


2)随便找个ID来看看人家的装修案例如何,我的ID是1571917 我就看了下1571915这个装修案例,店铺名字和区域可以看出都是人家公司的!

005.jpg


3)在我的装修案例中,审查元素把别人的1571915这个ID 替换掉我的1571917 然后编辑

006.jpg


007.jpg


4)保存后 可以发现别人的装修案例就到了我的账户下面,也就是我只要遍历ID就能把所有人的装修案例都借过来使用!... 这种越权方式之前遇到过,很不理解为什么会这样!

008.jpg


009.jpg


3.意见反馈这里
1)目前一共有2064条意见反馈

010.jpg


2)同样对我自己的意见反馈的ID进行遍历

011.jpg


012.jpg


数量不多遍历了一下 如下一小部分

Request	 contents = '
0	感觉不能单张删除图片,希望能添?
1	asdas';
            jQuery("#txtContent").val(contents);
            jQuery("#slcType").val(typeId
2	欢迎您给我们提出宝贵的使用感受和意见!
    若您在使用装修帮平台时遇到任何问题或困难,请及时反馈给
3	欢迎您给我们提出宝贵的使用感受和意见!
    若您在使用装修帮平台时遇到任何问题或困难,请及时反馈给
4	我在上传案例图片时总提示不成功,请尽快处理。';
            jQuery("#txtContent").val(contents);
  
5	';
            jQuery("#txtContent").val(contents);
            
 
6	我要申请的是装修设计类的装修帮,我申请的时候申请成建材类的了,怎么改';
            jQuery("#txtCont
7	我的店铺页面,点进去是空的。';
            jQuery("#txtContent").val(contents);
            jQuery
8	产品标注总是失败 不能提交~';
            jQuery("#txtContent").val(contents);
            jQuery("
9	请将卫浴水箱系列加入轩斯宝品牌,hansbo';
            jQuery("#txtContent").val(contents);
        
10	';
            jQuery("#txtContent").val(contents);
            
 
11	希望小区能进行分类 比如在江干区某某小区等...
';
            jQuery("#txtContent").val(contents);
12	提一个意见  装修顾问 应该分开 如装饰公司的一块  施工的一块  建材的一块 连我自己找了一天都找不到 建材
13	去甲醛品牌立佳洁在选项里面没有,而现在不存在的天下无贼 和源生态却还在上面,让大家情何以堪啊!!';
 
14	我已经申请了装修顾问的小区,但是我好像没申请过装修顾问啊,有点不太清楚了,假如我已经是装修顾问,在哪里显
15	没有我家品牌咋办?我家品牌:众诚和室,请速回,谢谢';
            jQuery("#txtContent").val(contents
16	我上传的图片不能标注为什么?第二栏让填产品在搜房的具体地址,是什么意思';
            jQuery("#txtCo
17	我是装修公司的,为什么我开的店铺会显示在建材行业?';
            jQuery("#txtContent").val(contents
18	怎么样把店铺地址更改啊';
            jQuery("#txtContent").val(contents);
            jQuery("#slc
19	每次打你们电话都不接';
            jQuery("#txtContent").val(contents);
            jQuery("#slcTy
20	发布灯饰产品,选择品牌,有艾克斯顿品牌,正确应该是艾克诗顿,艾克诗顿也是灯饰里的大品牌,如果错误会影
21	您好!我想请问一下,为什么我的密码始终都是无法修改的呢?';
            jQuery("#txtContent").val(co
22	店铺公告为什么一直不能发布,发布了还是老的,怎么回事啊';
            jQuery("#txtContent").val(cont
23	填写案例的时候,居然出现才写二十多个字,就说500个字已经满了。
为什么不能多提供一些字数了!
';
   
24	填写案例的时候,居然出现才写二十多个字,就说500个字已经满了。
为什么不能多提供一些字数了!
';
   
25	陶瓷方面不是很专业,有些模板方面设置的并不好,如果贵公司有意向在这方面提升的话。可以联系我,QQ:70***
26	在发布促销信息,文字和图片不能并茂哦,只是全图片,后面跟着一排文字了;要么相反。
提意能否在编辑上传
27	为什么我找不到我要发布的品牌呢';
            jQuery("#txtContent").val(contents);
            jQue
28	您好, 我是扬子橱柜的商家,我发信息图片的时候,上面没有“扬子橱柜”选项,请问能帮添加上吗? 谢谢';
29	';
            jQuery("#txtContent").val(contents);
            
 
30	你好!
我写经营项目写错了,我是薇莎瓷砖花都总经销,但是写了装修设计类,搞错了请问我怎么改回建材家
31	您好!为什么我手机收到有预约电话的短信时,我立刻上网查,而我的商铺却没有显示有预约电话呢?这种情况请
32	想更换手机号码,但是那个手机号码已经认证更换不了了,怎么办';


端午了,求多赏几个wb买粽子

漏洞证明:

位置:http://dianpu.fang.com/
随意注册帐号进入后台,装修帮后台!
1.店铺公告这里。
注册了两个帐号做测试,账户A随意发布一条店铺公告,得到店铺公告链接
账户B也同样发布一条。 在账户A里面用审查元素把账户B的链接ID替换为自己的店铺公告的链接ID,然后编辑,可以直接编辑账户B的公告内容。
测试中账户A的公告ID为 358848 账户B的公告ID为363721 证明如下图:
1)账户B 发布公告内容:

001.jpg


2)审查元素中把账户B的公告链接ID替换掉账户A的ID

003.jpg


3)点击编辑后显示账户B的公告内容 随意修改后保存

002.jpg


4)到账户B中刷新下,看看是否成功!可以看到已经被修改掉了!

000.jpg


2.发布装修案例这里
1)随意发布一个装修案例,会得到这个装修案例的ID。如下图

004.jpg


2)随便找个ID来看看人家的装修案例如何,我的ID是1571917 我就看了下1571915这个装修案例,店铺名字和区域可以看出都是人家公司的!

005.jpg


3)在我的装修案例中,审查元素把别人的1571915这个ID 替换掉我的1571917 然后编辑

006.jpg


007.jpg


4)保存后 可以发现别人的装修案例就到了我的账户下面,也就是我只要遍历ID就能把所有人的装修案例都借过来使用!... 这种越权方式之前遇到过,很不理解为什么会这样!

008.jpg


009.jpg


3.意见反馈这里
1)目前一共有2064条意见反馈

010.jpg


2)同样对我自己的意见反馈的ID进行遍历

011.jpg


012.jpg


数量不多遍历了一下 如下一小部分

Request	 contents = '
0	感觉不能单张删除图片,希望能添?
1	asdas';
            jQuery("#txtContent").val(contents);
            jQuery("#slcType").val(typeId
2	欢迎您给我们提出宝贵的使用感受和意见!
    若您在使用装修帮平台时遇到任何问题或困难,请及时反馈给
3	欢迎您给我们提出宝贵的使用感受和意见!
    若您在使用装修帮平台时遇到任何问题或困难,请及时反馈给
4	我在上传案例图片时总提示不成功,请尽快处理。';
            jQuery("#txtContent").val(contents);
  
5	';
            jQuery("#txtContent").val(contents);
            
 
6	我要申请的是装修设计类的装修帮,我申请的时候申请成建材类的了,怎么改';
            jQuery("#txtCont
7	我的店铺页面,点进去是空的。';
            jQuery("#txtContent").val(contents);
            jQuery
8	产品标注总是失败 不能提交~';
            jQuery("#txtContent").val(contents);
            jQuery("
9	请将卫浴水箱系列加入轩斯宝品牌,hansbo';
            jQuery("#txtContent").val(contents);
        
10	';
            jQuery("#txtContent").val(contents);
            
 
11	希望小区能进行分类 比如在江干区某某小区等...
';
            jQuery("#txtContent").val(contents);
12	提一个意见  装修顾问 应该分开 如装饰公司的一块  施工的一块  建材的一块 连我自己找了一天都找不到 建材
13	去甲醛品牌立佳洁在选项里面没有,而现在不存在的天下无贼 和源生态却还在上面,让大家情何以堪啊!!';
 
14	我已经申请了装修顾问的小区,但是我好像没申请过装修顾问啊,有点不太清楚了,假如我已经是装修顾问,在哪里显
15	没有我家品牌咋办?我家品牌:众诚和室,请速回,谢谢';
            jQuery("#txtContent").val(contents
16	我上传的图片不能标注为什么?第二栏让填产品在搜房的具体地址,是什么意思';
            jQuery("#txtCo
17	我是装修公司的,为什么我开的店铺会显示在建材行业?';
            jQuery("#txtContent").val(contents
18	怎么样把店铺地址更改啊';
            jQuery("#txtContent").val(contents);
            jQuery("#slc
19	每次打你们电话都不接';
            jQuery("#txtContent").val(contents);
            jQuery("#slcTy
20	发布灯饰产品,选择品牌,有艾克斯顿品牌,正确应该是艾克诗顿,艾克诗顿也是灯饰里的大品牌,如果错误会影
21	您好!我想请问一下,为什么我的密码始终都是无法修改的呢?';
            jQuery("#txtContent").val(co
22	店铺公告为什么一直不能发布,发布了还是老的,怎么回事啊';
            jQuery("#txtContent").val(cont
23	填写案例的时候,居然出现才写二十多个字,就说500个字已经满了。
为什么不能多提供一些字数了!
';
   
24	填写案例的时候,居然出现才写二十多个字,就说500个字已经满了。
为什么不能多提供一些字数了!
';
   
25	陶瓷方面不是很专业,有些模板方面设置的并不好,如果贵公司有意向在这方面提升的话。可以联系我,QQ:70***
26	在发布促销信息,文字和图片不能并茂哦,只是全图片,后面跟着一排文字了;要么相反。
提意能否在编辑上传
27	为什么我找不到我要发布的品牌呢';
            jQuery("#txtContent").val(contents);
            jQue
28	您好, 我是扬子橱柜的商家,我发信息图片的时候,上面没有“扬子橱柜”选项,请问能帮添加上吗? 谢谢';
29	';
            jQuery("#txtContent").val(contents);
            
 
30	你好!
我写经营项目写错了,我是薇莎瓷砖花都总经销,但是写了装修设计类,搞错了请问我怎么改回建材家
31	您好!为什么我手机收到有预约电话的短信时,我立刻上网查,而我的商铺却没有显示有预约电话呢?这种情况请
32	想更换手机号码,但是那个手机号码已经认证更换不了了,怎么办';


端午了,求多赏几个wb买粽子

修复方案:

端午了,求多赏几个wb买粽子吃

版权声明:转载请注明来源 小威@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:4

确认时间:2015-06-22 22:43

厂商回复:

感谢您对搜房安全的关注,您反馈的问题已经转给相关同事处理。

最新状态:

暂无