当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0210191

漏洞标题:艺龙某分销系统逻辑错误导致可重置任意账户密码(可批量/涉及银行卡号等信息)

相关厂商:艺龙旅行网

漏洞作者: Angoddess

提交时间:2016-05-18 18:33

修复时间:2016-07-02 21:10

公开时间:2016-07-02 21:10

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-05-18: 细节已通知厂商并且等待厂商处理中
2016-05-18: 厂商已经确认,细节仅向厂商公开
2016-05-28: 细节向核心白帽子及相关领域专家公开
2016-06-07: 细节向普通白帽子公开
2016-06-17: 细节向实习白帽子公开
2016-07-02: 细节向公众公开

简要描述:

之前做测试的账号明明是存在的,且重置了密码,然而不知道为什么就是登不进去,然后被审核大大刷下来了。。。为了证明洞洞真的存在,这回申请了个测试账号做各种验证,后来又找了个存在账号做测试,嗯,这回perfect了。

详细说明:

http://union.elong.com/zh-CN/Account/Forgetpass 直接忘记密码,填写自己的手机号(压根没注册的号)

1.png

抓包下一步可以发现,这里他把验证码跟手机号做两部验证了,先发送验证码的数据包

2.png

之后是手机号验证

3.png

酱紫那我们不就可以绕过验证码爆破存在手机号了?直接把这个数据包扔去爆破,然后我们回到拦截的这个数据包,修改反馈数据包信息为true

4.png

直接跳转到下一步了,此时手机会受到验证码,输入然后下一步

5.png

终于来到重置页面了

6.png

这里拦截数据包会发现,他是号码跟新密码一起发送的,如果号码不存在则失败,我们把号码改成任一存在的就可以了

8.png

到这里,宝宝开心啦,可以进系统啦,可是回头看了登录界面就懵逼了,妈妈咪的,不能手机号登录,宝宝心里苦,但宝宝不说...... 再查一遍,登录可以邮箱,重新再看密码找回,哟西,有个邮箱找回密码的,可以试试 邮箱找回密码的思路跟手机一模一样,这里就不重复了,然后就用重置的邮箱账号登陆系统! PS:手机号重置密码虽然没办法进入系统,不过可以恶意批量修改啊!也是有相当危害的! 此次重置的有手机号13888888888(具体对应哪个邮箱账号不清楚),密码123456,邮箱duanyukun101@163.com,密码wooyun123(可能账号没激活还是什么的,进不去)。
自己申请了个测试账号angoddess@foxmail.com/wooyun123,做了各种测试,洞洞真的存在的啊啊啊啊,这里就不重复放过程了
申请账号的地址是:http://union.elong.com/zh-CN/register(谷歌出来的。。。)

漏洞证明:

这个是我的测试账号!

9.png


这个是重新找的账号,利用上面的方法重置成功进去了,账号密码zlsgtc@126.com/wooyun123

10.png


手机跟邮箱找回存在一样的问题,虽然手机号没办法登录,但可以批量重置啊,望重视!
求审核大大明鉴!

修复方案:

1、首先是忘记密码时验证码跟账号不要分开验证,且验证码不可重复利用
2、验证了账户存在之后,要确保接下来的步骤都是跟这个账户相关的,且发送验证码也要发往这个账户,避免被截取篡改,利用cookie之类的做身份验证吧

版权声明:转载请注明来源 Angoddess@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2016-05-18 21:00

厂商回复:

尽管这个漏洞昨天补天已经报过,我们已经做了修复,但安全漏洞是不分平台的,仍然感谢对艺龙安全的帮助。

最新状态:

暂无