当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0128089

漏洞标题:功夫熊站点暴力破解密码验证码

相关厂商:功夫熊

漏洞作者: 路人甲

提交时间:2015-07-21 17:19

修复时间:2015-09-04 17:20

公开时间:2015-09-04 17:20

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-21: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-09-04: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

功夫熊是全国最大的上门推拿按摩平台,服务规范、价格统一、响应迅速,功夫熊旨在提供最好的上门推拿按摩服务.

详细说明:

QQ20150721-1@2x.jpg


1.找到管理平台地址:http://admin.gfxiong.com/login?location=/

QQ20150721-2@2x.jpg


提示密码错误,抓包,修改几次密码,发现并没有尝试限制,可进行暴力破解。手上字典不多,没进行过多尝试,应该可以暴力获取账号密码。
2.找到个人账号登录地址:http://w.gfxiong.com/wx/lst/product
http://w.gfxiong.com/m/login#/m/my
发现站点是通过手机验证码方式进行认证的。如图:

QQ20150721-3@2x.jpg


尝试拿13333333333进行测试吧。。。。

QQ20150721-4@2x.jpg


任意提交验证码1234,抓包,爆破之。。。验证过没有限制,于是如图:

QQ20150721-5@2x.jpg


破解验证码:0035,登录成功。如图:

QQ20150721-6@2x.jpg


此账号没有订单,如果在大量遍历手机情况下,可以获取大量用户信息,毕竟上门服务啊,人生安全不容忽视。。。
3.优惠码似乎也可以遍历。。。。不做过多演示了,遍历可能花很长时间。

QQ20150721-8@2x.jpg


漏洞证明:

以上。

修复方案:

1,增加限制机制
2,设置验证阀值
3,来套上门按摩呗。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝