当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0154612

漏洞标题:驱动之家主站登录位置设计不当可导致撞库攻击

相关厂商:驱动之家

漏洞作者: 路人甲

提交时间:2015-11-21 10:15

修复时间:2016-01-11 15:32

公开时间:2016-01-11 15:32

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:3

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-21: 细节已通知厂商并且等待厂商处理中
2015-11-22: 厂商已经确认,细节仅向厂商公开
2015-12-02: 细节向核心白帽子及相关领域专家公开
2015-12-12: 细节向普通白帽子公开
2015-12-22: 细节向实习白帽子公开
2016-01-11: 细节向公众公开

简要描述:

驱动之家主站登录位置设计不当可导致撞库攻击

详细说明:

http://www.mydrivers.com主站登录位置,有验证码限制

1.png


验证码经过测试发现可绕过,输入正确一次抓包之后一直正确,然后用户名密码又是明文传输的

2.png


测试撞库网站用户

3.png


贴出帐号证明:

sbams	15907676860	1119
raydi	tonyray	1119
cxcx	123456	1119
maxdi	MXD6636	1119
286642	999999	1119
wytdh	12541254dh	1119
jcccn	19891124	1119
kitoo	8833213	1119
123123	123123	1120
yeyuer	1987120	1120
123123	123123	1120
openzs	123456	1120
wjs400	1208112	1120
zpf856	8625827	1120
211314	211314	1120
mingl2	1988110a	1120
123123	123123	1120
kealin	5524420603	1120
gsfgsf	gsfgsf	1120
123555	123456	1120
123123	123123	1120
bbccos	kof988	1120
niceby	shabia	1120
zdwcmy	cmyzdw	1120
zxf0519	123456	1137
sistian	ss051212	1137
5224273	2609132	1137
gsb6768	771202	1137
zzzno11	115121	1137
wulucky	wuwenhua	1137
cry8014	868014	1137
tkm2001	viliem	1137
jiameng	jiameng	1137
urmcpot	7825137	1137
9135169	9135169	1137
angelv1	19810213	1137
wyg1258	w5722u	1137
hpx1166	198000	1137
nicklain	jolinxxx	1137
83763466	4783396	1138
honor521	honorren521	1138
shaosion	200000	1138
lyhf2001	1983515	1138
42254210	42254210	1138
hogfish	wei0jing	1138
42254210	42254210	1138
7929524	123456	1138
12312312	123123	1138
szguoke	790725	1138
lujia07	lujiafry	1138
ashu9830	983109	1138
tomyidea	321322	1138
78221059	8832727	1138
hgc1027	8180178	1138
39076544	13865387278	1138
233210735	32103210	1139
xiong1219	aayo51	1139
121347486	121347486	1139
lixun1066	350204	1139
450835695	13819526432	1139
276400874	19870713	1139
raoletian	aihang99	1139
329291379	185766121	1139
diudiuant	fengyi233	1139
515656712	51565671	1139
519539234	6618796	1139
390422161	198542	1139
305589142	305589142	1139
550444590	jinzhe	1139
489697464	203020	1139
182362137	1987822	1139
470012521	7832645	1139
363145920	123456789	1139
410772728	3334861	1139
289396495	289396495	1139
plpop1991	plpop1991	1139
littlehqf	mcdlong001	1139
173486578	13758118806	1139
356108410	2228363	1139
136045291	jay454715889	1139
125980949	123456	1139
977792882	977792882	1139
297157457	139603399	1139
972429156	3566500	1139
406038042	aixiami	1139
wangwide1	toyota1	1139
755199990	20050413	1139
472290801	199392287	1139
xtliusyun	xtliutao	1139
379740999	88888888	1139
332481854	332481854	1139
gu72841280	86504568	1140
stalone008	821022	1140
wickedevil	261013	1140
surunxiang	7121962	1140
etimes2008	mygirl	1140
lqting1993	lqting1993	1140
yzgaochuang	778899	1157


登录帐号证明:

5.png


6.png

漏洞证明:

http://www.mydrivers.com主站登录位置,有验证码限制

1.png


验证码经过测试发现可绕过,输入正确一次抓包之后一直正确,然后用户名密码又是明文传输的

2.png


测试撞库网站用户

3.png


贴出帐号证明:

sbams	15907676860	1119
raydi	tonyray	1119
cxcx	123456	1119
maxdi	MXD6636	1119
286642	999999	1119
wytdh	12541254dh	1119
jcccn	19891124	1119
kitoo	8833213	1119
123123	123123	1120
yeyuer	1987120	1120
123123	123123	1120
openzs	123456	1120
wjs400	1208112	1120
zpf856	8625827	1120
211314	211314	1120
mingl2	1988110a	1120
123123	123123	1120
kealin	5524420603	1120
gsfgsf	gsfgsf	1120
123555	123456	1120
123123	123123	1120
bbccos	kof988	1120
niceby	shabia	1120
zdwcmy	cmyzdw	1120
zxf0519	123456	1137
sistian	ss051212	1137
5224273	2609132	1137
gsb6768	771202	1137
zzzno11	115121	1137
wulucky	wuwenhua	1137
cry8014	868014	1137
tkm2001	viliem	1137
jiameng	jiameng	1137
urmcpot	7825137	1137
9135169	9135169	1137
angelv1	19810213	1137
wyg1258	w5722u	1137
hpx1166	198000	1137
nicklain	jolinxxx	1137
83763466	4783396	1138
honor521	honorren521	1138
shaosion	200000	1138
lyhf2001	1983515	1138
42254210	42254210	1138
hogfish	wei0jing	1138
42254210	42254210	1138
7929524	123456	1138
12312312	123123	1138
szguoke	790725	1138
lujia07	lujiafry	1138
ashu9830	983109	1138
tomyidea	321322	1138
78221059	8832727	1138
hgc1027	8180178	1138
39076544	13865387278	1138
233210735	32103210	1139
xiong1219	aayo51	1139
121347486	121347486	1139
lixun1066	350204	1139
450835695	13819526432	1139
276400874	19870713	1139
raoletian	aihang99	1139
329291379	185766121	1139
diudiuant	fengyi233	1139
515656712	51565671	1139
519539234	6618796	1139
390422161	198542	1139
305589142	305589142	1139
550444590	jinzhe	1139
489697464	203020	1139
182362137	1987822	1139
470012521	7832645	1139
363145920	123456789	1139
410772728	3334861	1139
289396495	289396495	1139
plpop1991	plpop1991	1139
littlehqf	mcdlong001	1139
173486578	13758118806	1139
356108410	2228363	1139
136045291	jay454715889	1139
125980949	123456	1139
977792882	977792882	1139
297157457	139603399	1139
972429156	3566500	1139
406038042	aixiami	1139
wangwide1	toyota1	1139
755199990	20050413	1139
472290801	199392287	1139
xtliusyun	xtliutao	1139
379740999	88888888	1139
332481854	332481854	1139
gu72841280	86504568	1140
stalone008	821022	1140
wickedevil	261013	1140
surunxiang	7121962	1140
etimes2008	mygirl	1140
lqting1993	lqting1993	1140
yzgaochuang	778899	1157


登录帐号证明:

5.png


6.png

修复方案:

修复验证码

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-11-22 21:00

厂商回复:

非常感谢 !

最新状态:

暂无