WooYun.org

漏洞系统地址：http://fenxiao.lvmama.com/

1 首先是看了下面这2个漏洞报告后，才去看的。
http://wooyun.org/bugs/wooyun-2015-0149748
http://wooyun.org/bugs/wooyun-2015-0161249
2 发现了几个问题，首先，其中一个报告中提到的2个系统的帐号密码，还没有修改，这都一个多月了，漏洞都快公开了。

sam/sam1122?
zjw/zjw1122?

现在还是可以直接登录进去的。

3 然后我去试了试这2个报告中提到的登录位置的爆破问题，发现虽然做了修改，但是修的还是有问题。
先看看这哥们给的修补措施，如下图。

4 然后厂商也的确很重视，2次都给了20rank，然后也按照他说的措施修改了。
但是修改的结果就是，的确是每次验证码都会变一次，但是仅仅是前端的显示验证而已。服务器端的这个验证码还是可以无限次使用的。
所以也就是说，前面那2次报告提到的问题，根本就没有得到根本上的修补。
如下图，还可以根据length区分出哪些是存在的用户名。存在的返回length 350会提示 账户或者密码错误，不存在的会提示 帐号不存在或者账户或密码错误，这直接就可以很轻易的分辨出来了。

通过上面的方法爆破出来了一堆存在的帐号

lgr
ada
dad
hgx
llx
mid
sam
wcl
wcs
wkl
wwf
wzj
xtn
zhh
zjw
zyp
charenqing
charisheng
charonghua
charongshun
charongyan
charuigang
charuizhen
charunxian
charutao
chencharong
dingcharong
hecharong
huangmidi
jiangcharong
lixin
liyang
maomidan
wanghuan
zhangpeng
liumeng
yuting
guowei
guobin
gaotao
hujin
linxia
mayan
xiaofeng
yangwen
yuanhua
zengwen
zhouyu
zhuchao

然后每天5次限制，可以慢慢破，总是可以爆破出来弱口令的，这里前面的密码都没修，我也就不去破了。
5 继续说另一个问题。
发现这个系统的cookie设计是有问题的。每次登录，会Set-Cookie，但是同一个帐号每次的Set-Cookie都是一模一样的，所以这个cookie是永久有效不过期的，所以也就是说只要黑客登录了一次这个帐号，这个帐号就已经永久被劫持了。
6 然后继续说cookie的设计问题，不光是上面提到的不过期的情况，我登录了2个帐号，分别保存了cookie做了下对比。

Set-Cookie: dc4e01dbca1cd374ffb9068b31380fc2=Hb0l2XklSPjZXd0N2XklTP5ITN4ICMpZ1c39GaslTZw0mJ1N3cfRHdwlTZy0mJfd3YzVFdp9DZy0TNwAjMmcXdlNlcu9WYl1ePdaOqkWSqpZ1cn9mc19Dcw0mJzl2XpR3c9ASMkZlYs9War5XPhNXYxMCNyZ2blx2XklTPmMXdlNlcp9DZz1WYm0; path=/

Set-Cookie: dc4e01dbca1cd374ffb9068b31380fc2=Hb0l2XklSPjZXd0N2XklTP5ITN4ICMpZ1c39GaslTZw0mJ1N3cfRHdwlTZy0mJfd3YzVFdp9DZy0TNwAjMmcXdlNlcu9WYl1ePdaOqkWSqpZ1cn9mc19Dcw0mJzl2XpR3c9ASMkZlYs9War5XPhNXYxMCNyZ2blx2XklTPmMXdlNlcp9DZz1WYm0; path=/

发现cookie中很多的东西都是一样的，我们把它分行对比下。
帐号1：
dc4e01dbca1cd374ffb9068b31380fc2=Hb0l2XklSPjZXd0N2XklTP

5ITN4IC

MpZ1c39GaslTZw0mJ1N3cfRHdwlTZy0mJfd3YzVFdp9DZy0TNwAjMmcXdlNlcu9WYl1eP

daOqkWSq

pZ1cn9mc19Dcw0mJzl2XpR3c9ASMkZlYs9War5XPhNXYxMCNyZ2blx2XklTPmMXdlNlcp9DZ

z1WYm0

帐号2：
dc4e01dbca1cd374ffb9068b31380fc2=Hb0l2XklSPjZXd0N2XklTP

3IDO5Ui

MpZ1c39GaslTZw0mJ1N3cfRHdwlTZy0mJfd3YzVFdp9DZy0TNwAjMmcXdlNlcu9WYl1eP

8WOo7Wuu8Syn

pZ1cn9mc19Dcw0mJzl2XpR3c9ACMkZlYs9War5XPhNXYxMCNyZ2blx2XklTPmMXdlNlcp9DZ

61namc

7 如上显示，可以看到，cookie应该是一个组合的算法的加密，比如最前面的dc4e01dbca1cd374ffb9068b31380fc2 就是字符串saasinfo的32位md5加密的结果。
2个帐号cookie的大部分的内容都是一样的，只有3处是不一样的。
然后做了下控制变量后的测试，发现情况如下。
不一样的3处的功能：
第一处：这个比较重要，会直接影响页面的显示。
第二处：这里是用户名的显示位置，可以随便写。
第三处：这里是标题栏的显示位置，也可以随便写。
只要保证第一处通过校验，第二处和第三处位置都可以随便写，可以直接绕过验证登入。
比如第二处和第三处随便写，后台会显示如下情况，但是正常功能都可以操作。

8 基于以上的分析，我猜测这里的cookie主要是由6部分构成的，其中有3部分是不变的，用于验证用户的访问权限，另外3部分是变动的，不同的帐号对应的不一样的。
由于不知道这3出变动位置的字符串的加密算法，所以我们按照其位数随便写写试试能不能绕过验证。
登录，抓包，拦截，修改返回信息内容如下（ip位置我打马赛克了）。
三处变动位置分别用了1234567 xxxxxxxx 123456 去替换试试。

HTTP/1.1 200 OK
Date: Tue, 05 Jan 2016 02:08:09 GMT
Server: Apache
Set-Cookie: Apache=222.***.***.***.1451959689761606; path=/; max-age=315360000; domain=.zowoyoo.com
Set-Cookie: dc4e01dbca1cd374ffb9068b31380fc2=Hb0l2XklSPjZXd0N2XklTP1234567MpZ1c39GaslTZw0mJ1N3cfRHdwlTZy0mJfd3YzVFdp9DZy0TNwAjMmcXdlNlcu9WYl1ePxxxxxxxxpZ1cn9mc19Dcw0mJzl2XpR3c9ASMkZlYs9War5XPhNXYxMCNyZ2blx2XklTPmMXdlNlcp9DZ123456; path=/
Vary: Accept-Encoding,User-Agent
Content-Length: 49
Content-Type: text/html;charset=UTF-8
{"state":true,"msg":"","change":"home/index.jsp"}

发现500了！

9 也就是如上面所说，这里会导致后台页面出问题，但是发现其他不登录没有权限的接口还是可以访问操作的额。
比如
产品的上下架情况
http://fenxiao.lvmama.com/home/prod_log.jsp?d=2015-12-30&s=0

http://fenxiao.lvmama.com/home/prod_log.jsp?d=2015-12-30&s=1

10 所以说，这里的cookie可以直接伪造进行登录，获取到登录权限做一些登录权限才可以访问和操作的接口。