当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-093174

漏洞标题:LebiShop商城系统最新版漏洞大礼包

相关厂商:www.lebi.cn

漏洞作者: xfkxfk

提交时间:2015-01-27 15:01

修复时间:2015-04-27 15:02

公开时间:2015-04-27 15:02

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-27: 细节已通知厂商并且等待厂商处理中
2015-01-27: 厂商已经确认,细节仅向厂商公开
2015-01-30: 细节向第三方安全合作伙伴开放
2015-03-23: 细节向核心白帽子及相关领域专家公开
2015-04-02: 细节向普通白帽子公开
2015-04-12: 细节向实习白帽子公开
2015-04-27: 细节向公众公开

简要描述:

LebiShop商城系统最新版漏洞大礼包,包括任意用户密码修改,密码重置,某接口直接拖库等

详细说明:

LebiShop商城系统最新版漏洞大礼包
第一个任意用户密码修改
在修改用户登陆密码和支付密码是都没有验证原始密码
在发送修改密码请求时,只需要遍历COOKIE中的userid即可修改全部用户密码
shop.ajax.ajax_userin文件中的setpassword方法

// Shop.Ajax.Ajax_userin
public void SetPassword()
{
	string PWD = RequestTool.RequestString("Password");
	PWD = EX_User.MD5(PWD);
	this.CurrentUser.Password = PWD;
	B_Lebi_User.Update(this.CurrentUser);
	base.Response.Write("{\"msg\":\"OK\"}");
}


这里直接接受new password,然后跟进当前登陆用户COOKIE中的userid进行修改

8.png


第二密码重置
在找回密码处存在缺陷导致可被重置任意用户密码
shop.ajax.ajax_user文件中的User_forgetpwd方法

// Shop.Ajax.Ajax_user
public void User_forgetpwd()
{
	string Email_ = RequestTool.RequestString("Email");
	string code = CookieTool.GetCookieString("CheckCodef");
	string verifycode = RequestTool.RequestString("verifycode");
	if (code != verifycode)
	{
		base.Response.Write("{\"msg\":\"" + base.Tag("验证码错误") + "\"}");
		return;
	}
	Lebi_User user = B_Lebi_User.GetModel("Email='" + Email_ + "'");
	if (user == null)
	{
		base.Response.Write("{\"msg\":\"" + base.Tag("用户不存在") + "\"}");
		return;
	}
	try
	{
		Email.SendEmail_forgetpwd(user, base.CurrentTheme);
		if (ShopCache.GetBaseConfig().SMS_sendmode.Contains("SMSTPL_getpwd"))
		{
			SMS.SendSMS_forgetpwd(user);
		}
	}
	catch (Exception ex)
	{
		base.Response.Write("{\"msg\":\"" + ex.Message + "\"}");
	}
	base.Response.Write("{\"msg\":\"OK\"}");
}


跟进Email.SendEmail_forgetpwd方法

// Shop.Bussiness.Email
public static void SendEmail_forgetpwd(Lebi_User user, Lebi_Theme CurrentTheme)
{
	Lebi_Language lang = B_Lebi_Language.GetModel("Code='" + user.Language + "'");
	BaseConfig conf = ShopCache.GetBaseConfig();
	user.CheckCode = EX_User.MD5(DateTime.Now.ToString());
	B_Lebi_User.Update(user);
	string url = string.Concat(new object[]
	{
		"http://",
		RequestTool.GetRequestDomain(),
		ThemeUrl.GetURL("P_FindPassword", "", "", lang),
		"?id=",
		user.id,
		"&email=",
		user.Email,
		"&v=",
		user.CheckCode
	});
	string title = Language.Content(conf.EmailTPL_getpwd_title, user.Language);
	string content = Language.Content(conf.EmailTPL_getpwd, user.Language);
	title = Email.ReplaceEmailTag(title, user, conf);
	content = Email.ReplaceEmailTag(content, user, conf);
	content = content.Replace("{$UserPWDURL}", url);
	bool flag = Email.Send(user.Email, title, content);
	Email.EmailJob(user.Email, title, content, flag, user, conf);
}


这里通过email发送邮件,关键是这里的验证code
user.CheckCode = EX_User.MD5(DateTime.Now.ToString());
CheckCode 只是通过当前时间戳进行md5然后发送重置密码邮件如下:

http://plus.demo.lebi.cn/FindPassword.aspx?id=37&[email protected]&v=207ade4af42016cafd61543e308afae0


最后通过对比userid的用不的CheckCode 是否等于接收到的这个url中的CheckCode
简单的时间戳很容易被绕过,而且这里没有验证发送一次后就情况前面发送的CheckCode ,所以我们可以短时间内发送过个重置密码邮件,比如:
我们在2秒钟内发送多个重置密码请求,然后我们在遍历处2秒钟内的时间戳并md5
然后遍历md5后的字符串构造重置密码请求即可
第三某接口可之直接拖库
来看看代码
shop.api.api文件中的GetUsers方法

// Shop.api.api
public void GetUsers()
{
	int id = RequestTool.RequestInt("user_id", 0);
	int size = RequestTool.RequestInt("size", 1);
	size = ((size < 0) ? 0 : size);
	size = ((size > 50) ? 50 : size);
	List<Lebi_User> users = B_Lebi_User.GetList("id>=" + id, "id asc", size, 1);
	List<apiUser> models = new List<apiUser>();
	foreach (Lebi_User user in users)
	{
		models.Add(new apiUser
		{
			Address = user.Address,
			Password = user.Password,
			Area = EX_Area.GetAreaName(user.Area_id, 4),
			Birthday = user.Birthday,
			CashAccount_Bank = user.CashAccount_Bank,
			CashAccount_Code = user.CashAccount_Code,
			CashAccount_Name = user.CashAccount_Name,
			City = user.City,
			Count_Login = user.Count_Login,
			Currency_Code = user.Currency_Code,
			Email = user.Email,
			Face = user.Face,
			Fax = user.Fax,
			id = user.id,
			Introduce = user.Introduce,
			IP_Last = user.IP_Last,
			IP_This = user.IP_This,
			Language = user.Language,
			MobilePhone = user.MobilePhone,
			Money = user.Money,
			Money_xiaofei = user.Money_xiaofei,
			Msn = user.Msn,
			NickName = user.NickName,
			Phone = user.Phone,
			Point = user.Point,
			Postalcode = user.Postalcode,
			QQ = user.QQ,
			RealName = user.RealName,
			Sex = user.Sex,
			Time_Last = user.Time_Last,
			Time_lastorder = user.Time_lastorder,
			Time_Reg = user.Time_Reg,
			Time_This = user.Time_This,
			UserName = user.UserName
		});
	}
	JavaScriptSerializer jss = new JavaScriptSerializer();
	string json = jss.Serialize(models);
	json = jss.Serialize(new LBAPI
	{
		data = json,
		msg = "OK"
	});
	base.Response.Write(json);
}


这里通过user_id的个数和size参数的大小,遍历出了用户,包括具体信息如代码中的属性信息
但是这里有一个接口密码apipwd

// Shop.api.api
protected void Page_Load(object sender, EventArgs e)
{
	string apipwd = RequestTool.RequestString("apipwd");
	if (apipwd != ShopCache.GetBaseConfig().APIPassWord)
	{
		base.Response.Write("{\"msg\":\"验证失败\"}");
		return;
	}
	string action = RequestTool.RequestString("action");
	Type type = base.GetType();
	MethodInfo methodInfo = type.GetMethod(action);
	if (methodInfo != null)
	{
		methodInfo.Invoke(this, null);
	}
}


当请求中的apipwd等于系统中设置的api密码时,即可通过此接口获取全部用户信息
在系统中apipwd是这样获取的:

ShopCache.GetBaseConfig().APIPassWord
model.APIPassWord = ((ht["APIPassWord"] == null) ? "" : ((string)ht["APIPassWord"]));


当默认系统中没有设置APIPassWord时则为空
重要的是此系统默认安装就没有设置APIPassWord,即APIPassWord为空
后台配置,基本设置中

6.png


此时我们提交的请求中可设置apipwd=空即可
如下请求即可获取用户信息

5.png


同理还能获取系统全部订单信息,shop.api.api文件中的GetOrders方法

7.png

漏洞证明:

5.png

修复方案:

验证原始密码,加强验证避免被破解,初始化APIPassWord

版权声明:转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-01-27 17:41

厂商回复:

漏洞已修复,感谢

最新状态:

暂无