铁血网某处设计不当可撞库用户（大量账号证明）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0131991

漏洞标题：铁血网某处设计不当可撞库用户（大量账号证明）

漏洞作者：路人甲

提交时间：2015-08-06 10:20

修复时间：2015-09-20 10:32

公开时间：2015-09-20 10:32

漏洞类型：设计缺陷/逻辑错误

危害等级：中

自评Rank：6

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-08-06：细节已通知厂商并且等待厂商处理中
2015-08-06：厂商已经确认，细节仅向厂商公开
2015-08-16：细节向核心白帽子及相关领域专家公开
2015-08-26：细节向普通白帽子公开
2015-09-05：细节向实习白帽子公开
2015-09-20：细节向公众公开

简要描述：

铁血网某处设计不当可撞库用户（大量账号证明）

详细说明：

http://m.tiexue.net/3G/Login.aspx这个是铁血网3G的登陆接口，可以看到没有任何限制策略

然后抓包查看用户名和密码明文传输

之后撞库判断发现可以成功撞库

大量撞库成功账号证明：

yang	123456789	2538
132	123456	2538
drac	wangzhen	2540
gueic	my760603	2541
1111q	111111	2542
axjlf	aaaaaa	2542
11000	111111	2542
zcywd	wszcywd	2543
stinfo	stinfo	2543
zcyfz	zcy6215	2543
hc530	8497490539	2543
yida7	88224466	2543
cscwq	chinaren	2543
24688	123456	2543
listn	47725812	2543
514631	514631	2544
kicker	wxwxwx	2544
262626	123456	2544
adanet	198546	2544
211314	211314	2544
pyxwyl	wanglang2l	2545
wap123	123456	2545
xany07	19905207	2545
106136	106136	2545
vjd365	2124080	2545
132156	123456	2545
yqjqmz	9019023	2545
451321	123456789	2545
252321	252321	2545
801100	840718	2545
wshell	chaosky1	2545
shegang	3405005	2546
wszdszg	7412369	2546
wszdszg	7412369	2546
xxjj121	123456	2546
gsb6768	771202	2546
1231231	111111	2546
6158153	6158153	2547
a3220cs	2373868	2547
lujinww	86302230	2547
cxbszsd	617815	2547
9413737	3344520	2547
mnz1230	xuweiwei	2547
chxd168	19891104	2547
jushengl	js558a6	2547
1235874	123456	2547
east701	zhang880915	2547
musicmh	511323	2547
sky2012	china2012	2547
dtempler	840311	2547
vik2008	211314	2547
lydxyyq	1981422	2547
4654646	123456	2547
hogfish	wei0jing	2547
zzzno11	115121	2547
2008123	2008123	2547
4078719	1984514	2547
9120673	830120	2547
missole	19900801	2547
8826192	233011	2547
2150566	2150566	2547
2204226	820120	2547
yl77525	52077525	2547
dhlkele	75978502	2547
17880866	1518591	2548
z-knight	42184321	2548
huan_f22	262400	2548
lmktaooo	17370075	2548
jazzyest	84621515	2548
44444444	88888888	2548
12312312	123123	2548
qkwb9528	5832557	2548
wanyukan	5201314	2549
xtreecho	xiaoqiang	2549
nvslgogo	nvslgogo	2549
86784336	850210	2549
46228306	840920	2549
lindxxxx	966646	2549
mosco730	yjrgmiqpl	2549
45132169	123123	2549
51859327	123456zj	2549
baby20yu	870204	2549
44553747	412369	2549
12451245	123456	2549
liubin39	19860309	2549
peiroger	826527	2549
hymy2008	1302245asd	2549
sayahati	800913	2549
cash0167	1314521ding	2549
yesuniao	123111	2549
88206374	520520	2549
11271485	121212	2549
61798853	520520	2549
83719192	13177910213	2549
z3712573	2311767	2549
10059295	1985911224	2549
75048602	4820454	2549
ziyuebing	1314520214	2550
183818334	renhuan	2550
789654123	123456	2550
270703846	117802132	2550
409064382	23534192	2551
584010975	521827	2551
364161489	364161	2551
zhaoziyan	123456	2551
260266603	2612581	2551
423157489	8866965	2551
jianle001	595961957	2551
254561695	5904813	2551
408343294	1991227	2551
122134179	159456753	2551
124819975	124819975	2551
597564337	68193875	2551
505414861	a5190172	2551
516939496	19870401	2551
410337573	123456	2551
326441269	326441269	2551
125045081	123456	2551
250884292	200862132	2551
myskyfoot	19860603	2551
644087187	asdasdasd	2551
370185602	19890111	2551
296463270	19880314	2551
153715388	xwei20140	2551
281882806	198969	2551
306213420	laozhu520	2551
taoting20	860224	2551
549889188	5201314	2551
248542414	6229009a	2551
bambooeer	9b9s9dmg	2551
489697464	203020	2551
171538714	13467524375	2551
540511540	xuheyang	2551
qilin1985	100200	2551
850754343	19890303b	2551
ajdiuggtu	5203838438	2551
182469282	123abc	2551
188939290	188939290	2551
411566244	83066028	2551
158603836	hrq158603836	2551
529068704	19800128	2551
306933083	306933083	2551
676387043	wo7632200	2551
125045081	123456	2551
295010782	155555555	2551
xiaoma3000	xiaoma3000	2553
xiaoxuejun	991397	2553
zuoyouzhua	woshihaozi	2553
hp74948383	hp123123	2553
dunhillbjx	204204	2553
kemeijin886	66980276	2555
jiangxue569	150115406	2555
tonypourquoi	2998755ty	2556
shuaihong617	137566	2556
gechenglimei	19780615	2557
gechenglimei	19780615	2557
gechenglimei	19780615	2557
chromosomegg	woaini	2557

漏洞证明：

http://m.tiexue.net/3G/Login.aspx这个是铁血网3G的登陆接口，可以看到没有任何限制策略

然后抓包查看用户名和密码明文传输

之后撞库判断发现可以成功撞库

大量撞库成功账号证明：

yang	123456789	2538
132	123456	2538
drac	wangzhen	2540
gueic	my760603	2541
1111q	111111	2542
axjlf	aaaaaa	2542
11000	111111	2542
zcywd	wszcywd	2543
stinfo	stinfo	2543
zcyfz	zcy6215	2543
hc530	8497490539	2543
yida7	88224466	2543
cscwq	chinaren	2543
24688	123456	2543
listn	47725812	2543
514631	514631	2544
kicker	wxwxwx	2544
262626	123456	2544
adanet	198546	2544
211314	211314	2544
pyxwyl	wanglang2l	2545
wap123	123456	2545
xany07	19905207	2545
106136	106136	2545
vjd365	2124080	2545
132156	123456	2545
yqjqmz	9019023	2545
451321	123456789	2545
252321	252321	2545
801100	840718	2545
wshell	chaosky1	2545
shegang	3405005	2546
wszdszg	7412369	2546
wszdszg	7412369	2546
xxjj121	123456	2546
gsb6768	771202	2546
1231231	111111	2546
6158153	6158153	2547
a3220cs	2373868	2547
lujinww	86302230	2547
cxbszsd	617815	2547
9413737	3344520	2547
mnz1230	xuweiwei	2547
chxd168	19891104	2547
jushengl	js558a6	2547
1235874	123456	2547
east701	zhang880915	2547
musicmh	511323	2547
sky2012	china2012	2547
dtempler	840311	2547
vik2008	211314	2547
lydxyyq	1981422	2547
4654646	123456	2547
hogfish	wei0jing	2547
zzzno11	115121	2547
2008123	2008123	2547
4078719	1984514	2547
9120673	830120	2547
missole	19900801	2547
8826192	233011	2547
2150566	2150566	2547
2204226	820120	2547
yl77525	52077525	2547
dhlkele	75978502	2547
17880866	1518591	2548
z-knight	42184321	2548
huan_f22	262400	2548
lmktaooo	17370075	2548
jazzyest	84621515	2548
44444444	88888888	2548
12312312	123123	2548
qkwb9528	5832557	2548
wanyukan	5201314	2549
xtreecho	xiaoqiang	2549
nvslgogo	nvslgogo	2549
86784336	850210	2549
46228306	840920	2549
lindxxxx	966646	2549
mosco730	yjrgmiqpl	2549
45132169	123123	2549
51859327	123456zj	2549
baby20yu	870204	2549
44553747	412369	2549
12451245	123456	2549
liubin39	19860309	2549
peiroger	826527	2549
hymy2008	1302245asd	2549
sayahati	800913	2549
cash0167	1314521ding	2549
yesuniao	123111	2549
88206374	520520	2549
11271485	121212	2549
61798853	520520	2549
83719192	13177910213	2549
z3712573	2311767	2549
10059295	1985911224	2549
75048602	4820454	2549
ziyuebing	1314520214	2550
183818334	renhuan	2550
789654123	123456	2550
270703846	117802132	2550
409064382	23534192	2551
584010975	521827	2551
364161489	364161	2551
zhaoziyan	123456	2551
260266603	2612581	2551
423157489	8866965	2551
jianle001	595961957	2551
254561695	5904813	2551
408343294	1991227	2551
122134179	159456753	2551
124819975	124819975	2551
597564337	68193875	2551
505414861	a5190172	2551
516939496	19870401	2551
410337573	123456	2551
326441269	326441269	2551
125045081	123456	2551
250884292	200862132	2551
myskyfoot	19860603	2551
644087187	asdasdasd	2551
370185602	19890111	2551
296463270	19880314	2551
153715388	xwei20140	2551
281882806	198969	2551
306213420	laozhu520	2551
taoting20	860224	2551
549889188	5201314	2551
248542414	6229009a	2551
bambooeer	9b9s9dmg	2551
489697464	203020	2551
171538714	13467524375	2551
540511540	xuheyang	2551
qilin1985	100200	2551
850754343	19890303b	2551
ajdiuggtu	5203838438	2551
182469282	123abc	2551
188939290	188939290	2551
411566244	83066028	2551
158603836	hrq158603836	2551
529068704	19800128	2551
306933083	306933083	2551
676387043	wo7632200	2551
125045081	123456	2551
295010782	155555555	2551
xiaoma3000	xiaoma3000	2553
xiaoxuejun	991397	2553
zuoyouzhua	woshihaozi	2553
hp74948383	hp123123	2553
dunhillbjx	204204	2553
kemeijin886	66980276	2555
jiangxue569	150115406	2555
tonypourquoi	2998755ty	2556
shuaihong617	137566	2556
gechenglimei	19780615	2557
gechenglimei	19780615	2557
gechenglimei	19780615	2557
chromosomegg	woaini	2557

修复方案：

不知道。。

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2015-08-06 10:30

厂商回复：

非常感谢路人甲

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0131991

漏洞标题：铁血网某处设计不当可撞库用户（大量账号证明）

相关厂商：北京铁血科技

漏洞作者：路人甲

提交时间：2015-08-06 10:20

修复时间：2015-09-20 10:32

公开时间：2015-09-20 10:32

漏洞类型：设计缺陷/逻辑错误

危害等级：中

自评Rank：6

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0131991

漏洞标题：铁血网某处设计不当可撞库用户（大量账号证明）

相关厂商：北京铁血科技

漏洞作者： 路人甲

提交时间：2015-08-06 10:20

修复时间：2015-09-20 10:32

公开时间：2015-09-20 10:32

漏洞类型：设计缺陷/逻辑错误

危害等级：中

自评Rank：6

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0131991"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云