春秋航空任意用户密码重置漏洞

漏洞详情

披露状态:

2014-04-10: 细节已通知厂商并且等待厂商处理中
2014-04-10: 厂商已经确认,细节仅向厂商公开
2014-04-20: 细节向核心白帽子及相关领域专家公开
2014-04-30: 细节向普通白帽子公开
2014-05-10: 细节向实习白帽子公开
2014-05-25: 细节向公众公开

简要描述:

春秋航空任意用户密码重置

详细说明:

春秋航空主站http://www.china-sss.com/

密码找回

发送到邮箱去了

看看链接

http://www.china-sss.com/AirCust/ModifyNewPassword?sec=BE0D87EC3A1C77D6269E26C6C4DA07BFsplitStrEAC70A5C00049334D5C44CBB1204A0A1A143452127F795F5FB4E37C86907F5C1splitStr9B738C3935F8AB84DAF8DDB6BEAAB737

好牛逼啊,貌似不能伪造啊什么的,觉不爱。



不过来到了他的绿翼商城http://mall.china-sss.com/

跟主站的账户密码是一致的

我们来看看他的密码找回

http://mall.china-sss.com/member/findPwdModify?newPwd=805780&custId=9C0202325165

11.png



点击进去就可以直接设置新的密码了

我们分析下url,newPwd先不管,custID很明显,我们改一下65变成64,就来到了64这个用户的密码重置了,心里一阵窃喜,输入新密码后点击确认,弹框说旧密码不对。



我了个擦,哪里验证旧密码了啊。我找回的时候也没让我输旧密码啊。这时候想到了newPwd



其实这里的newPwd就是旧密码。所以密码找回流程是这样的



当你输入邮箱找回密码的时候,系统直接给你重置了一个6位密码,然后以这个6位密码当作你的“旧密码”进行验证,从而来判断你是否是自己的账户。经检测,上面的URL中805780确实可以登录,在没有设置新密码之前。



所以咯,这里就是申请密码找回一下,然后密码就默认变成了随机的6位纯数字。那么BURP一下就可以搞定了啊

burp的话,100000差不多2小时吧。我知道发6位的密码重置肯定不会给过,因为之前的都没给过。

不过这里我想主要说明的是,厂商的疏忽。主站的密码找回就牛逼,到了分站就疏忽了,导致我们可以利用。给大家一个思路罢了。

漏洞证明:

春秋航空主站http://www.china-sss.com/

密码找回

发送到邮箱去了

看看链接

http://www.china-sss.com/AirCust/ModifyNewPassword?sec=BE0D87EC3A1C77D6269E26C6C4DA07BFsplitStrEAC70A5C00049334D5C44CBB1204A0A1A143452127F795F5FB4E37C86907F5C1splitStr9B738C3935F8AB84DAF8DDB6BEAAB737

好牛逼啊,貌似不能伪造啊什么的,觉不爱。



不过来到了他的绿翼商城http://mall.china-sss.com/

跟主站的账户密码是一致的

我们来看看他的密码找回

http://mall.china-sss.com/member/findPwdModify?newPwd=805780&custId=9C0202325165

11.png



点击进去就可以直接设置新的密码了

我们分析下url,newPwd先不管,custID很明显,我们改一下65变成64,就来到了64这个用户的密码重置了,心里一阵窃喜,输入新密码后点击确认,弹框说旧密码不对。



我了个擦,哪里验证旧密码了啊。我找回的时候也没让我输旧密码啊。这时候想到了newPwd



其实这里的newPwd就是旧密码。所以密码找回流程是这样的



当你输入邮箱找回密码的时候,系统直接给你重置了一个6位密码,然后以这个6位密码当作你的“旧密码”进行验证,从而来判断你是否是自己的账户。经检测,上面的URL中805780确实可以登录,在没有设置新密码之前。



所以咯,这里就是申请密码找回一下,然后密码就默认变成了随机的6位纯数字。那么BURP一下就可以搞定了啊

burp的话,100000差不多2小时吧。我知道发6位的密码重置肯定不会给过,因为之前的都没给过。

不过这里我想主要说明的是,厂商的疏忽。主站的密码找回就牛逼,到了分站就疏忽了,导致我们可以利用。给大家一个思路罢了。

修复方案:

修复修复撒

版权声明:转载请注明来源 计算姬@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-04-10 11:07

厂商回复:

该系统为分站系统,已收到并尽快修复,非常感谢,辛苦了。

最新状态:

2014-04-14:已修复,谢谢。


漏洞评价: