漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-099669
漏洞标题:帝友P2P任意密码支付密码重置让我超越马云爸爸不再是梦想
相关厂商:厦门帝网信息科技有限公司
漏洞作者: Rtsjx
提交时间:2015-03-05 19:41
修复时间:2015-06-08 19:42
公开时间:2015-06-08 19:42
漏洞类型:设计缺陷/逻辑错误
危害等级:中
自评Rank:10
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-03-05: 细节已通知厂商并且等待厂商处理中
2015-03-10: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2015-05-04: 细节向核心白帽子及相关领域专家公开
2015-05-14: 细节向普通白帽子公开
2015-05-24: 细节向实习白帽子公开
2015-06-08: 细节向公众公开
简要描述:
本屌为穷逼,买不起贵司10+W的而且代码质量高到可怕的产品,所以下了一个D版系统看源码。在网贷之家随机挑了几个站点测试,发现问题都存在……
详细说明:
听说P2P借贷火成狗,然后看了看几家P2P借贷的站点,长得都差不多,看起来好像就是一个妈生的。本来想吐槽一下,关乎钱的事情,就不能认真点吗?但是,转念一想,艾玛,这不是一个通用程序么……赶紧脱掉裤子爽一发。
听说这货的产品卖得死贵(>15W),翻阅了一下写的代码,质量实在对不起这个价格。之前在乌云上厂商还会接点bug打发打发白帽,现在听说弄了个绿M的检测报告之后屌都不屌乌云一下。
扯蛋完毕,本屌是小白一个,还请各位看官海涵。
============================分割线============================
其实这不是一个漏洞,而是属于默认密钥未被重置的问题。
先来看看d友的密码重置过程:
发起密码重置 –> 验证用户名与邮箱是否一致 –> 生成并发送令牌 –> 验证令牌 –> 重置密码完成
问题出在验证令牌的流程上。
我们来看看/modules/member/index.php上对密码重置是怎么验证的:
可以看到$data决定了是否能够重置密码,能够重置谁的密码。正常情况下,$data应当是一个拥有两个及以上元素的数组,其中第一个元素表示需要重置的用户ID,第二个元素表示令牌的生成时间(10分钟后过期)。
在$data的解码过程中,authcode函数非常重要,接着来看看authcode函数的处理过程,该函数位于文件/core/function.inc.php:
可以看到,这个函数拥有一个默认的密钥,而之前验证的过程中,并没有指定一个特别的密钥。
社会主义的直觉告诉我,那这里就有个世界和平问题。
我随便挑了一个用了这个软件的站点,发起密码重置请求,得到了字符串:
本地使用默认密钥反解这个字符串,得到:
接着,把3494改成1,并加密回去,看看能不能重置这货的密码:
呵呵。
更为可怕的是,这货的支付密码还能以同样的方式被重置:
嗯,看来过不了几天我就能超越马云爸爸了。哎,警察同志您先别开枪……
漏洞证明:
修复方案:
版权声明:转载请注明来源 Rtsjx@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-06-08 19:42
厂商回复:
最新状态:
暂无