WooYun.org

时间不早了，不说废话，直接入题
1.打开迪粉汇
http://club.bydauto.com.cn/portal.php
2.点击登录-->忘记密码
或者直接访问以下链接
http://webcasqa2.byd.com.cn/sso/member.php?mod=lostpasswd
用户名输入admin输入验证码

说到验证码，这里小小吐槽一下，验证码放在cookie里面不是可以直接爆破了吗？
3.显示出admin用户的邮箱，虽然打了码，但是在cookie里面又一览无余。

这段看似乱七八糟的东西只是做了一个url编码，解码后如下：
a:5:{s:6:"mobile";s:0:"";s:5:"email";s:19:"[email protected]";s:8:"password";s:32:"b08bf72c18097d850930fa9b3abe660c";s:8:"username";s:5:"admin";s:3:"uid";s:1:"1";}
貌似连用户的密码一起返回了，不过md5加了盐值，破解不是很容易，但感觉不应该返回密码数据
4.下一步伪造邮箱，让邮箱验证发到指定的邮箱里面

这里有点小插曲，就是伪造邮箱的长度一定要和用户自己邮箱的长度一样，否则发送不成功，我也是偶然发现的（这里就是bug根源）
于是伪造一个和原来一样长度的邮箱[email protected]替换之

成功截获邮件

访问里面的url，直接重置admin密码

访问后台看看

到了后台拿个uc key 上传个shell很容易的事情，就不演示了,只为说明问题严重性.
说声抱歉，admin的密码改成bydauto了，请修改。