记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

乐彩网重置任意用户密码漏洞

2015-03-17 03:31

1、测试时发现在校验短信码处存在绕过漏洞,导致可轻易重置任意账号密码。

2、首先使用已知手机号进行一次正常的找回密码操作,记录短信码成功通过验证时返回的响应包,如下:

code 区域
HTTP/1.1 200 OK

Server: nginx

Date: Wed, 11 Mar 2015 04:33:51 GMT

Content-Type: text/html; charset=utf-8

Connection: keep-alive

Expires: Thu, 19 Nov 1981 08:52:00 GMT

Pragma: no-cache

Cache-control: private

X-Powered-By: ThinkPHP

Content-Length: 6298



<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />

<title>设置新密码 - 忘记密码 - 乐彩网 - 原创+专业+人气旺,踏实服务我国彩票公益事业(原网址www.17500.net被盗,请当心受骗)</title>

<link rel="stylesheet" type="text/css" media="all" href="https://passport.17500.cn/Public/Common/css/reset.css?20150104" />

<link rel="stylesheet" type="text/css" media="all" href="https://passport.17500.cn/Public/Common/css/common.css?20150104" />

<link rel="stylesheet" type="text/css" media="all" href="https://passport.17500.cn/Public/User/css/user.css?20150104" />

<link rel="stylesheet" type="text/css" media="all" href="https://passport.17500.cn/Public/User/css/index.css?20150104" />

<script src="https://passport.17500.cn/Public/Common/js/jquery.min.js?20150104"></script>

<script src="https://passport.17500.cn/Public/Common/js/common.js?20150104"></script>

<script src="https://passport.17500.cn/Public/User/js/user.js?20150104" charset="utf-8"></script>

</head>

<body><div id="header">

<em>

<a href="http://www.17500.cn" target="_blank">乐彩网首页</a>&nbsp;|&nbsp;<a href="http://bbs.17500.cn" target="_blank">乐彩论坛</a>&nbsp;|&nbsp;<a href="http://lebi.17500.cn" target="_blank">乐币点播</a>&nbsp;|&nbsp;<a href="http://sp.17500.cn" target="_blank">短信点播</a>&nbsp;|&nbsp;<a href="http://tb.tuganjue.com" target="_blank">图感觉图表</a>&nbsp;|&nbsp;<a href="http://taihu.17500.cn" target="_blank">太湖钓叟字谜</a></em>

<a href="https://passport.17500.cn/index/index.html" id="logo">乐彩网</a>

<b>忘记密码</b>

</div><div id="section">

<div class="register fixed">

<div class="l">

<form action="https://passport.17500.cn/forgot/step2.html" method="POST" onsubmit="return user.forgot.submitchk2()">

<ul id="forgot_form">

<div class="fi">

<p class="t">正在操作的手机号为:<b>13828840869</b></p>

<p class="c">请在以下选项中选择要找回密码的用户名</p>

<p class="b">

<label for="uid_1246317" class="on" onclick="user.common.selectUser(this)">

<i><input type="radio" id="uid_1246317" name="uid" value="1246317" checked="true" /></i>

kevin219</label></p>

</div>

<li>

<input name="pwd" class="txtin tw3 i2" type="text" value="密码" readonly="readonly" />

<input name="password" class="txtin tw3 i2" type="password" style="display: none;" />

<p class="ti">请重新设置一个复杂的密码!</p>

</li>

<li>

<input name="pwd2" class="txtin tw3 i5" type="text" value="重复密码" readonly="readonly" />

<input name="password2" class="txtin tw3 i5" type="password" style="display: none;" />

<p class="ti">请再输入一次您刚刚设置的密码!</p>

</li>

<li>

<em class="yz fr">

<img id="verify_code" src="https://passport.17500.cn/code/index/rand/4703.html" onclick="user.common.changeverify(this)" />

</em>

<input name="verify" class="txtin tw4 i3" type="text" autocomplete="off" value="验证码" />

<p class="ti">请填写右边图片中的验证码!</p>

</li>

<li>

<label for="resetsecquess" class="twn">

清空安全提问

<input type="checkbox" name="resetsecquess" id="resetsecquess" value="1" style="height:0; overflow:hidden; border:0; width: 0;"/>

</label>

</li>

<li><input name="submit" type="submit" class="inb" value="提&nbsp;&nbsp;交" /></li>

</ul>

</form>

</div>

<div class="r">

<p class="fg2"><b>联系我们</b></p>

<div class="hz3">

<a href="http://wpa.qq.com/msgrd?v=3&uin=4008017500&site=qq&menu=yes" target="_blank" class="hz11"><i></i>4008017500</a>

<a href="javascript:void(0)" class="hz12"><i></i>400-80-17500</a>

</div>

</div>

</div>

</div>

<script type="text/javascript">

$(function(){

user.common.focusBlur($('#forgot_form'));

user.common.verifyurl = "https://passport.17500.cn/check/verify.html";

user.common.passwordurl = "https://passport.17500.cn/check/password.html";

user.common.password2url = "https://passport.17500.cn/check/password2.html";

$('input[name=password]').blur(function(){

user.common.passwordchk();

});

$('input[name=password2]').blur(function(){

user.common.password2chk();

});

$('input[name=verify]').blur(function(){

user.common.verifychk();

});

$(':checkbox[name=resetsecquess]').change(function(){

user.forgot.changecheck(this);

});

});

</script><div id="footer">

<p>

<a href="http://www.17500.cn/home/aboutus.php" target="_blank">关于乐彩网</a>丨<a href="http://www.17500.cn/zhaopin/index.php" target="_blank">人才招聘</a>丨<a href="http://www.17500.cn/home/vipright.php" target="_blank">服务说明</a>丨<a href="http://www.17500.cn/pay/" target="_blank">支付方式</a>丨<a href="http://www.17500.cn/home/contactus.php" target="_blank">联系方式</a>丨<a href="http://www.17500.cn/comment/contact.php" target="_blank">在线沟通</a>丨<a href="https://passport.17500.cn/index/index.html" target="">用户中心</a>丨<a href="http://www.17500.cn/home/map.php" target="_blank">网站地图</a>丨<a href="http://www.17500.cn" target="_blank">返回首页</a></p>

快乐博彩,尽在乐彩<br/>

© 2004-2015 版权所有&nbsp;&nbsp;&nbsp;&nbsp;京ICP备13046446号|京公网安备11011202001644号&nbsp;&nbsp;&nbsp;&nbsp;<script type="text/javascript" src="https://tajs.qq.com/stats?sId=37761611" charset="UTF-8"></script><br/>

<img src="https://passport.17500.cn/Public/User/img/kx.gif" alt=""/>&nbsp;&nbsp;&nbsp;&nbsp;<img src="https://passport.17500.cn/Public/User/img/cx.gif" alt=""/>

</div></body>

</html>



3、再做一次找回密码操作,如下图,下发短信码后,输入任意短信码(此处为123456),提交校验请求

2.jpg



4、可以看到响应提示短信码错误

3.jpg



5、用第一次重置密码操作得到的响应包替代此处,如下

4.jpg



6、释放请求后,成功进入重置密码页面,重置密码为:1111qqqq

5.jpg



7、重置密码成功,可利用该密码成功登录系统

6.jpg

漏洞证明:

见漏洞详细说明

修复方案:

完善认证机制,在前端和服务端同时校验


知识来源: www.wooyun.org/bugs/wooyun-2015-0100653

阅读:277006 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“乐彩网重置任意用户密码漏洞”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

↓赞助商 🙇🧎

标签云 ☁