当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0167489

漏洞标题:小牛电动设计缺陷&越权操作

相关厂商:niu.com

漏洞作者: 路人甲

提交时间:2016-01-05 17:04

修复时间:2016-02-22 21:46

公开时间:2016-02-22 21:46

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-01-05: 细节已通知厂商并且等待厂商处理中
2016-01-09: 厂商已经确认,细节仅向厂商公开
2016-01-19: 细节向核心白帽子及相关领域专家公开
2016-01-29: 细节向普通白帽子公开
2016-02-08: 细节向实习白帽子公开
2016-02-22: 细节向公众公开

简要描述:

小牛电动设计缺陷&越权操作,求首页,求20R

详细说明:

WooYun: 庖丁解牛之一小牛售后系统N多弱口令乱入
WooYun: 小牛电动某站越权可以获取其他管理员明文密码
结合前两个漏洞一起来看,两个均修复了。
http://sh.niu.com/
这个后台,厂商增加了验证码,防止爆破

11.jpg


但是此处验证码设计有缺陷,登陆失败,验证码不刷新,导致验证码可以一直使用,因此导致可以继续暴力破解登陆
登陆的数据包如下

POST /Account/LogOn?identification=0.040708905551582575
Password=35323031333134&UserName=liujing&oValidCode=YT4P&iValidCode=YT4P


返回包是
{"msg":"用户名密码错误","sessionid":""}

11.jpg


收集用户名,弱密码,暴力破解,密码简单的ascii hex一下即可,爆破出来好多弱口令账号
随便登陆一个lvyue / 1q2w3e4r

11.jpg


登陆一个看看,发现权限没有上次那个什么薛龙的高,菜单只有几个,于是想着去看看越权的问题还在不在
直接按照 WooYun: 小牛电动某站越权可以获取其他管理员明文密码 ,构造查看其他用户信息的链接

GET /RightSet/Exec?ECEvent=OPEN&itemid=1&userright=BNEDCU&winid=setRight&sessionid=2d861c04-34ab-4413-800d-4d96a46a9870&seriod_content_no=0.3636090673971921 HTTP/1.1


这里sessionid换成这次lvyue的用户的即可

11.jpg


可以看到越权仍然存在,我普通用户还是能看到用户档案等功能
只不过跟上次相比,看不到hex保存的密码了,不过越权还是很大的一个问题。

漏洞证明:

见详细描述

修复方案:

彻底修复

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2016-01-09 20:05

厂商回复:

感谢对小牛电动安全的关注.

最新状态:

暂无