当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0159785

漏洞标题:房房通在线经纪人工作平台多个漏洞打包

相关厂商:武汉泰悦互动科技有限公司

漏洞作者: soFree

提交时间:2015-12-10 16:48

修复时间:2016-01-23 15:16

公开时间:2016-01-23 15:16

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-10: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-01-23: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

房房通在线经纪人工作平台多处越权缺陷

详细说明:

《平行越权》:
1.修改密码:http://www.fft365.com/User/UpdateUserPwd.aspx?saveType=1&ismypwd=
首先修改密码设计缺陷,未验证新密码,直接提交新密码即可,因为存在越权,能造成极大危害,可任意修改他人登录密码
通过遍历txtUserID(纯数字),可任意修改他人的登录密码

修改密码设计缺陷,未验证新密码,直接提交新密码即可.png


2.修改个人信息:http://www.fft365.com/User/SaveUser.aspx?action=edit&self=self&editType=1
通过遍历txtUserID(纯数字),可任意修改他人的个人信息

个人资料修改.png


《垂直越权》:
3.公司资料修改:http://www.fft365.com/Department/UpdateDeptCompanyName.aspx
普通员工可垂直越权,访问只能经理才能访问的公司资料修改模块,并能正常进行后续操作

公司资料修改.png


4.IP访问限制:http://www.fft365.com/Department/PermitIPList.aspx
普通员工可垂直越权,访问只能经理才能访问的IP访问限制模块,并能正常进行后续操作

IP访问限制.png


5.时间访问限制:http://www.fft365.com/Department/LoginTime.aspx
普通员工可垂直越权,访问只能经理才能访问的时间访问限制模块,并能正常进行后续操作

时间访问限制.png


6.批量转移房源:http://www.fft365.com/Aid/BatchTransfer.aspx
普通员工可垂直越权,访问只能经理才能访问的批量转移房源模块,并能正常进行后续操作

批量转移房源.png


后面的也一样,危害也比较大,不再一一截图
7.新建部门模块:http://www.fft365.com/Department/DeptAdd.aspx
...
8.组织管理模块:http://www.fft365.com/Department/DeptList.aspx
...
9.新增员工模块:http://www.fft365.com/User/AddUser.aspx
...
10.员工资料管理模块:http://www.fft365.com/User/UserList.aspx
...
11.员工权限管理模块:http://www.fft365.com/User/UserPurviewFullList.aspx
...
......

漏洞证明:

房房通在线经纪人工作平台某处设计缺陷,可任意重置密码
首先,找回密码处有两处设计缺陷:
http://www.fft365.com/apply/getpass.ashx?txtMail=xssss@163.com&txtUser=xss124&num=Wed%20Dec%2009%202015%2013:02:46%20GMT+0800%20(%E4%B8%AD%E5%9B%BD%E6%A0%87%E5%87%86%E6%97%B6%E9%97%B4)
1.找回密码,需要提交账号和绑定的邮箱,结果代码居然没有校验账号和绑定的邮箱的对应关系,任意填一个邮箱,结果重置密码邮件就发到哪个邮箱了,奇葩
同一个账号提交两个不同邮箱:

找回密码1.png


找回密码2.png


2.找回密码设计缺陷,提交找回密码后,所有账号重置的密码都为:abc123。低级的逻辑

密码均为abc123.png


另外:注册:http://www.fft365.com/Apply/AddErpSimpleVersion.aspx?isfistr=0&ftype=1&saveType=1
遍历txtDomain,可批量注册,建议增加图片验证码
sql注入在登录请求: http://www.fft365.com/DealLogin.aspx?hz=&action=login&str_username=范晓凤&str_userpwd=aaa111&reb=false
注入点:str_username
呃!post方式使用有误吧,而且明文传输账号和密码,开发哥哥!post的话:账号和密码应该放在 HTTP 消息主体中发送的,好吗?而不是放在请求的 URL 中
注入payload:
abc123' or '1'='1
abc124' or '1'='1
abc125' or '1'='1
范晓凤' or '1'='1
均能成功登录
登录账号:abc123

注入abc123' or '1'='1登录.png


成功登录abc123.png


登录账号:abc124:

注入abc124' or '1'='1登录.png


成功登录abc124-陈红.png


大量敏感信息,房源,客源,要是卖给其他房产公司,这个收益...呃...:
出售房源:

出售房源.png


出租房源:

出租房源.png


求购客源:

求购客源.png


求租客源:

求租客源.png


身份证手机号姓名等敏感信息:

身份证手机号姓名等敏感信息.png


获取大量存在的账号:

获取大量存在的账号.png


属于盲注,最后顺便用sqlmap证明一下,191个表啊,我没脱裤,没干别的,不要查我水表,just prove it:

盲注191个表.png


列:

表的列.png


另外:登录请求,密码无错误频次限制无图片验证码,可爆破和撞库,建议修改哟

登录请求,密码无错误频次限制无图片验证码,可爆破和撞库.png


修复方案:

优化权限控制机制

版权声明:转载请注明来源 soFree@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝