WooYun.org

安徽铜陵农商行互联网投融资平台（http://**.**.**.**/）登录页面存在验证码设计缺陷，可暴力破解。

安徽铜陵农商行互联网投融资平台登录页面的设计缺陷比较奇葩：
1.经过测试发现，当用户输入的“用户名/手机号”为系统已注册过的用户时，密码输入错误超过5次，系统会弹出验证码。

但是当用户输入的“用户名/手机号”是系统未注册用户时，例如：13888888888
密码随便输入，系统只是提示“账号不存在”，而不会出现验证码。

结合以上测试的情况发现，可以对该系统暴力测试某个固定弱密码，例如登录密码设置为123456，然后用手机号码做个字典，此时就可暴力破解字典中的电话号码是否在密码为123456的账户。
测试的时候未能跑出账户密码为123456的用户，试了好多都没发现一个弱口令，此时旁边一个哥们说测测123789，我就在测试了下，还真存在一个密码为123789的账户….
测试的时候先拦截报文：

跑了大概10万个电话号码，发现了一枚弱口令（13093730184/123789）

由此证明，该系统的确存在设计缺陷，可以爆破特定的弱密码。
此时登录一下该账号（13093730184/123789），系统包含五大功能：投资管理、充值、提现、安全管理、系统通知。

还能提现哦，点击看了下“提现”功能（可是这人竟然账户是空的）

点击“我要借款”发现这个人的姓名：

点击“我的账户”可以修改密码等。

OK,问题证明到此。