当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-040908

漏洞标题:易名中国逻辑错误可重置他人密码(绕过验证码有效次数)

相关厂商:易名中国

漏洞作者: niliu

提交时间:2013-10-25 11:33

修复时间:2013-12-09 11:34

公开时间:2013-12-09 11:34

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-10-25: 细节已通知厂商并且等待厂商处理中
2013-10-25: 厂商已经确认,细节仅向厂商公开
2013-11-04: 细节向核心白帽子及相关领域专家公开
2013-11-14: 细节向普通白帽子公开
2013-11-24: 细节向实习白帽子公开
2013-12-09: 细节向公众公开

简要描述:

应@小川 要求,来一发菊花残~

详细说明:

易名中国,一个域名服务提供商。
貌似好多大站都在这注册的。本着试试看的态度测试了一下,没想到竟然可以重置他人密码!
此处漏洞比较隐蔽,非常规的简单爆菊。
问题当然是出在了密码找回页面,先正常流程测试一下
来到密码找回页面

https://www.ename.net/user/findpassword


1.jpg


下一步,手机接收6位数字验证码,然后随便填写个111111提交时抓包

2.jpg


POST /user/sendcaptcha HTTP/1.1
Host: www.ename.net
Connection: keep-alive
Content-Length: 62
Cache-Control: max-age=0
Origin: https://www.ename.net
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.1 (KHTML, like Gecko) Maxthon/4.0.3.6000 Chrome/22.0.1229.79 Safari/537.1
Content-Type: application/x-www-form-urlencoded
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
DNT: 1
Referer: https://www.ename.net/user/sendcaptcha
Accept-Encoding: gzip,deflate
Accept-Language: zh-CN
Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3
Cookie: @!#$@$%^%
Mobile=18********4&MobileVoiceValue=18********4&Captcha=§111111§


此处未对验证码做提交错误次数限制,导致可暴力破解
对参数Captcha进行破解,如图

3.jpg


成功得到验证码256534,去页面试一下,结果悲剧了。。。

4.jpg


提示:对不起,您的验证码已经被使用过。
原来网站还是做了限制的,刚才破解时已经使用的一次验证码,就算破解出来也不能用了。
此时陷入尴尬..
有点不甘心,换个思路,先正常重置下密码看看页面会跳转到哪?
经过测试输入正确的验证码后页面会跳转到这

https://www.ename.net/user/resetpassword


那么,思路有了,破解成功后,虽然页面提交时提示验证码已经被使用。
这里不管它,直接访问

https://www.ename.net/user/resetpassword


即可重置密码。

5.jpg


漏洞证明:

都在上面了...

修复方案:

验证码先修复了,再修复逻辑问题!

版权声明:转载请注明来源 niliu@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-10-25 18:49

厂商回复:

感谢niliu发现漏洞,稍早前已和niliu有做过沟通,虽然目前可判定该漏洞只会造成没有设置操作保护的ID密码被修改,而正常使用的帐号都会强制用户设置操作保护。通常ID下每一项针对域名或款项的功能,都有由用户自定义再次操作保护或手机验证保护的功能,所以通常有了密码登录进去,也不会对用户的ID产生太大的损失,但我们仍然非常的感激,并且会发送礼物给予感谢!

最新状态:

暂无