NIUBICMS地方门户系统重置任意用户密码 | wooyun-2015-0100672| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0100672

漏洞标题：NIUBICMS地方门户系统重置任意用户密码

漏洞作者： darker

提交时间：2015-03-11 14:36

修复时间：2015-04-30 18:48

公开时间：2015-04-30 18:48

漏洞类型：设计缺陷/逻辑错误

危害等级：中

自评Rank：10

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-03-11：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-04-30：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

http://www.niubicms.com/
官方网站。
http://demo.niubicms.com/
官方demo

详细说明：

部分案例。
juwtc.com
www.jlkxxx.com
www.rtxnet.com
www.lbcsw.com
www.cp368.com
www.sihongren.com
www.wa118114.com
www.mylovedz.com
0759n.com
haoheihe.com
yuecity.net
www.zmdbxw.com
www.rtxnet.com
bdsh.52aite.cn
www.qzw0595.com
xzslhj.com
www.hykm888.cn
www.baixinxi.com
www.anji365.cn
www.jieemall.com
www.ooovv.com
漏洞文件:member/login.inc.php

case 'getpwd':
                        if($do_submit)
                        {       
                                if(!preg_match('/^\w+([-+.]\w+)*@\w+([-.]\w+)*\.\w+([-.]\w+)*$/i',$email))
                                {
                                        showjsmsg($sitelang['err-email']);
                                }
                                $userid=$memberobj->getuseridbyemail($email);
                                if($userid)
                                {
                                        $password=mt_rand(100000,999999);
                                        $memberobj->set($userid,array('password'=>$password));
                                        if(UC_OPEN)
                                        {
                                                $info=$memberobj->getbase($userid);
                                                $action='editpwd';
                                                $username=$info['username'];
                                                $old_password=''; 
                                                $new_password=$password;
                                                $email=$info['email'];
                                                require_once SYSTEM_ROOT.'api/passport_server_ucenter.php';             
                                        }
                                        $site_name=$LA['sitename'];
                                        $site_url=$LA['siteurl'];
                                        $desc='您的登录密码已经重置为：'.$password.'，请尽快登录修改您的密码：<br />';
                                        $emailbody=stripslashes(file_get_contents(SYSTEM_ROOT.'template/email/email.html'));
                                        $emailbody=str_replace('{$site_name}',$site_name,$emailbody);
                                        $emailbody=str_replace('{$site_url}',$site_url,$emailbody);
                                        $emailbody=str_replace('{$username}',$site_name.'用户',$emailbody);
                                        $emailbody=str_replace('{$email}',$email,$emailbody);
                                        $emailbody=str_replace('{$desc}',$desc,$emailbody);
                                        $emailbody=str_replace('{$url}',$LA['siteurl'].'member/index.php?file=login&action=login',$emailbody);
                                        require_once SYSTEM_ROOT.'include/email.class.php';
                                        $emailobj=new email();
                                        $emailobj->set($LA['mail_server'], $LA['mail_port'], $LA['mail_user'], $LA['mail_pwd'], $LA['mail_type']);
                                        $emailobj->send($email, $LA['sitename'].'- 找回密码', $emailbody, $LA['mail_user']);
                                        showjsmsg('新密码已经发送到您的邮箱，请查收后登录！');
                                }
                                else
                                {
                                        showjsmsg('该邮箱尚未注册或不存在！');
                                }
                        }

随机生成密码为6位数字。
$password=mt_rand(100000,999999);
...
...
$desc='您的登录密码已经重置为：'.$password.'，请尽快登录修改您的密码：
我们注册一个会员。
然后找回密码。
新生成的密码为6位纯数字。
http://demo.niubicms.com/member/index.php?file=login&action=login
由于登陆多次，验证码不会失效。

case 'login':
			if($_userid)
			{
				header("location:".LA_PATH.'member/index.php');exit();
			}
			$captcha_open=explode(",",$LA['captcha_open']);
			$captquetion_open=explode(",",$LA['captquetion_open']);
			if(isset($do_submit))
			{
				if(in_array(2,$captcha_open) && $_POST['inputcheckcode']!=$_SESSION['captcha'])
				{
					showjsmsg('ÑéÖ¤ÂëÊäÈë²»ÕýÈ·£¡');
				}
				if(!preg_match('/^[\x80-\xff_a-zA-Z0-9]{1,64}$/i',$account) && !preg_match('/^\w+([-+.]\w+)*@\w+([-.]\w+)*\.\w+([-.]\w+)*$/i',$account))
				{
					showjsmsg('µÇÂ½ÕËºÅ²»´æÔÚ£¡');
				}
				if(preg_match('/[\x80-\xff]/i',$password))
				{
					showjsmsg('µÇÂ½ÃÜÂë²»ÕýÈ·£¡');
				}
				
				$info['username']=strpos($account,'@')?'':$account;
				$info['email']=strpos($account,'@')?$account:'';
				$uccode='';
				if(UC_OPEN)
				{
					require_once SYSTEM_ROOT.'api/passport_server_ucenter.php';
					$db=new mysql();
					$db->connect(LA_HOST,LA_USER,LA_PSW,LA_NAME,LA_PCONNECT,LA_CHARSET);
				}
				$userid=$memberobj->getuserid($account);
				if(!$userid)
				{
					$userid=$memberobj->getuseridbyemail($account);
				}
				if(!$userid)
				{
					showjsmsg('µÇÂ½ÕËºÅ²»´æÔÚ£¡');
				}
				$info=$memberobj->get($userid);
				if($info['password']!=md5($password) || !$info)
				{
					showjsmsg('µÇÂ½ÃÜÂë²»ÕýÈ·£¡');
				}
				
				$u=array();
				$u['logintime']=TIME;
				$u['loginip']=IP;
				if($info['expire']<TIME)
				{
					$u['gradeid']=3;
				}
				
				$memberobj->set($userid,$u);
				$la_auth_key=md5(AUTH_KEY.$_SERVER['HTTP_USER_AGENT']);
				$la_auth=la_auth($userid."\t".md5($password),'ENCODE',$la_auth_key);
				set_cookie('auth',$la_auth,0);
				
				if($refer)
				{
					exit($uccode.'<script language="javascript">top.location.href="'.$refer.'";</script>');
				}
				else
				{
					exit($uccode.'<script language="javascript">top.location.href="'.LA_PATH.'member/index.php?file=user&action=complete";</script>');
				}
			}
			else
			{
				include member_tlp('login');
				break;
			}

可以暴力破解6位数字。达到重置任意用户密码目的。

漏洞证明：

官方demo 注册用户有点问题。
这里使用www.lbcsw.com 这个做演示。= =好像这个发送邮件有点问题。
但是不影响漏洞演示，找回密码会重置成10000~999999的纯数字。
我们慢慢猜就可以了。

测试的时候线程开大了。
= =服务器不堪重任。挂了。

修复方案：

1.生成复杂的随机密码。
2.登陆页面验证码出错后，重新生成验证码。

版权声明：转载请注明来源 darker@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝