当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0156229

漏洞标题:赶集房产帮帮某登录处存在撞库攻击(奇葩过程)

相关厂商:赶集网

漏洞作者: 指尖上的故事

提交时间:2015-11-27 10:37

修复时间:2016-01-14 17:52

公开时间:2016-01-14 17:52

漏洞类型:基础设施弱口令

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-27: 细节已通知厂商并且等待厂商处理中
2015-11-30: 厂商已经确认,细节仅向厂商公开
2015-12-10: 细节向核心白帽子及相关领域专家公开
2015-12-20: 细节向普通白帽子公开
2015-12-30: 细节向实习白帽子公开
2016-01-14: 细节向公众公开

简要描述:

感谢自己手贱......哈哈

详细说明:

https://passport.ganji.com/login.php?next=http%3A%2F%2Fwww.ganji.com%2Fsite%2Fu%2F

这是赶集房产帮帮某登录处(一般登陆处在这里)在这里爆破是不可能的因为有验证码...
后来我找到了这个地址:

http://fangvip.ganji.com/auth.php?do=login

经过测试后发现这里存在问题
抓包如下:

POST /auth.php?do=login HTTP/1.1
Host: fangvip.ganji.com
Content-Length: 57
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://fangvip.ganji.com
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: http://fangvip.ganji.com/auth.php?do=login
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: __utmganji_v20110909=0x811969610839150x5503f80ed4b2e35; ganji_uuid=9983304235117631124735; ganji_xuuid=8dc13f51-ad84-4a07-d453-f28d5b26d804.1446221201992; undefined=9c7361d7-88c4-44bd-a114-471f5496ccb3; sscode=gyKSQ1F0HYVSVRGCgyWjzTPz; GanjiUserName=wooyunj; GanjiUserInfo=%7B%22user_id%22%3A567410792%2C%22email%22%3A%22%22%2C%22username%22%3A%22wooyunj%22%2C%22user_name%22%3A%22wooyunj%22%2C%22nickname%22%3A%22%22%7D; bizs=%5B%5D; supercookie=AGL3AQRjAmxlWQSvAwx5ZwyyAmV2AmV1LzRmZGWzMJD3ZQt5LwRkMzVkZ2HkBGHlZTZ%3D; jy_reg_recommend_userids_jsonstr=%5B%2228562388%22%2C%22170796109%22%2C%2289132486%22%2C%2254979472%22%2C%22155668923%22%5D; jy_reg_flag_pop=reg; GANJISESSID=6b42f1685d16aa0e3e7080c091a6a342; __utmt=1; __utma=32156897.721529753.1446221098.1446221098.1448567063.2; __utmb=32156897.13.10.1448567063; __utmc=32156897; __utmz=32156897.1448567063.2.2.utmcsr=baidu|utmccn=(organic)|utmcmd=organic
next=&no_cookie_test=1&username=111111&password=111111111


username=111111 password=111111111 传输数据没有加密明文递交 也没有验证码..果断拿起Burp爆破 账号可分为:用户名 邮箱 手机号
我拿姓名TOP500+123456测试出以下用户

mask 区域 
*****iang	*****
*****hua	1*****
*****ing	1*****
*****ua	12*****
*****ng	1*****
*****ng	1*****
*****ng	1*****
*****	123*****
*****ng	12*****
*****an	12*****
*****en	12*****
*****g	12*****
*****n	123*****
*****g	12*****
*****a	123*****
*****ng	12*****
*****g	12*****
*****n	12*****
*****g	123*****
*****ui	12*****
*****	123*****
*****ng	1*****
*****n	123*****
*****un	1*****
*****	123*****
*****1234*****
*****n	12*****
*****g	123*****
*****	123*****
*****de	1*****
*****1234*****
*****n	12*****
*****ng	1*****
*****1234*****
*****1234*****
*****	123*****
*****	12*****
*****	12*****
*****1234*****
*****1234*****
*****	12*****


输出账号和密码,点击登录 提示:你输出的用户名和密码错误!(到此奇葩事出现了)
这个时候点击页面底部的“修改/删除信息 ” 就发现账号其实已经登录了...
当然也可以直接在这里https://passport.ganji.com/login.php?next=http%3A%2F%2Fwww.ganji.com%2Fsite%2Fu%2F 输出账号和密码登陆

漏洞证明:

随便登录个账号证明一下吧 (管理员自己测试一下吧)

1.png

2.png

3.png

4.png


当然也可以直接把爆破出来的结果拿去:
https://passport.ganji.com/login.php?next=%2Fvip%2F 进接登录

修复方案:

..你们更专业

版权声明:转载请注明来源 指尖上的故事@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-11-30 17:52

厂商回复:

确认漏洞存在,感谢提交!

最新状态:

暂无