WooYun.org

听说P2P借贷火成狗，然后看了看几家P2P借贷的站点，长得都差不多，看起来好像就是一个妈生的。本来想吐槽一下，关乎钱的事情，就不能认真点吗？但是，转念一想，艾玛，这不是一个通用程序么……赶紧脱掉裤子爽一发。
听说这货的产品卖得死贵（>15W），翻阅了一下写的代码，质量实在对不起这个价格。之前在乌云上厂商还会接点bug打发打发白帽，现在听说弄了个绿M的检测报告之后屌都不屌乌云一下。
扯蛋完毕，本屌是小白一个，还请各位看官海涵。
============================分割线============================
其实这不是一个漏洞，而是属于默认密钥未被重置的问题。
先来看看d友的密码重置过程：
发起密码重置 –> 验证用户名与邮箱是否一致 –> 生成并发送令牌 –> 验证令牌 –> 重置密码完成
问题出在验证令牌的流程上。
我们来看看/modules/member/index.php上对密码重置是怎么验证的：

……
elseif ($_U[‘query_class’] == ‘updatepwd’){
$updatepwd_msg = “”;
if(isset($_REQUEST[‘id’])){
$id = urldecode($_REQUEST[‘id’]);
【$data = explode(“,”,authcode(trim($id),”DECODE”));】
$user_id = $data[0];
$start_time = $data[1];
if ($user_id==””){
$updatepwd_msg = “您的操作有误，请勿乱操作”;
}elseif (time()>$start_time+10*60){
$updatepwd_msg = “此链接已经过期，请重新申请”;
}else{
$result = usersClass::GetUsers(array(“user_id”=>$user_id));
if ($result == false){
$updatepwd_msg = “您的操作有误，请勿乱操作”;
}else{
$_U[‘user_result’] =  $result;
}
}
……

可以看到$data决定了是否能够重置密码，能够重置谁的密码。正常情况下，$data应当是一个拥有两个及以上元素的数组，其中第一个元素表示需要重置的用户ID，第二个元素表示令牌的生成时间（10分钟后过期）。
在$data的解码过程中，authcode函数非常重要，接着来看看authcode函数的处理过程，该函数位于文件/core/function.inc.php：

function authcode($string,$operation = ‘DECODE’,$key = ”,$expiry = 0) {
$ckey_length = 4;
$key = md5($key ?$key : “dw10c20m05w18″);
$keya = md5(substr($key,0,16));
$keyb = md5(substr($key,16,16));
$keyc = $ckey_length ?($operation == ‘DECODE’?substr($string,0,$ckey_length): substr(md5(microtime()),-$ckey_length)) : ”;
……

可以看到，这个函数拥有一个默认的密钥，而之前验证的过程中，并没有指定一个特别的密钥。
社会主义的直觉告诉我，那这里就有个世界和平问题。
我随便挑了一个用了这个软件的站点，发起密码重置请求，得到了字符串：

本地使用默认密钥反解这个字符串，得到：

接着，把3494改成1，并加密回去，看看能不能重置这货的密码：

呵呵。
更为可怕的是，这货的支付密码还能以同样的方式被重置：

嗯，看来过不了几天我就能超越马云爸爸了。哎，警察同志您先别开枪……