当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(5) 关注此漏洞

缺陷编号: WooYun-2013-37115

漏洞标题: 盛大旗下有妖气漫画网某分站任意用户密码修改漏洞

相关厂商: 盛大网络

漏洞作者: zer0

提交时间: 2013-09-18 17:14

公开时间: 2013-09-23 17:14

漏洞类型: 设计缺陷/逻辑错误

危害等级: 高

自评Rank: 10

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

1人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-09-18: 细节已通知厂商并且等待厂商处理中
2013-09-23: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

help.u17.com采用HDWiki,而这套系统存在重置密码存在一处逻辑漏洞,导致攻击者可以修改任意用户密码。

详细说明:

code 区域
control/user.php





	function dogetpass(){





        ......





		}elseif(isset($this->post['verifystring'])){





			$uid=$this->post['uid'];





			$encryptstring=$this->post['verifystring'];





			$idstring=$_ENV['user']->get_idstring_by_uid($uid,$this->time);





			if($idstring==$encryptstring){





                       //没考虑到提交为空与查询返回为空的情况,一个逻辑错误





				$newpass = $this->post['password'];





				$renewpass = $this->post['repassword'];





				$error=$_ENV['user']->checkpassword($newpass,$renewpass);





				if($error=='OK'){





					//eval($this->plugin["ucenter"]["hooks"]["getpass"]);





					UC_OPEN && $msg=$_ENV['ucenter']->getpass($uid,$newpass);





					$_ENV['user']->update_field('password',md5($newpass),$uid);





					$_ENV['user']->update_getpass($uid);





					$this->message($this->view->lang['resetPassSucess'],'index.php?user-login',0);





				}else{





				  $this->message($error,'BACK',0);





				}





			}else{





				$this->message($this->view->lang['resetPassMessage'], WIKI_URL ,0);





			}





		}











	function  get_idstring_by_uid($uid,$time){  //取验证码





		return $this->db->result_first("SELECT code FROM ".DB_TABLEPRE."activation WHERE uid=$uid AND available=1  AND type=1 AND time>($time-3*24*3600) ORDER BY time DESC");





	}

漏洞证明:

http://help.u17.com/index.php?user-getpass-uid





正常情况应该是这样,user-getpass-1-xxx,但是因为逻辑问题,可以绕过去。





通过uid得到账号名 :

http://help.u17.com/index.php?list-popularity-1



1.jpg



2.jpg



3.jpg



4.jpg

修复方案:

control/user.php文件

}elseif(isset($this->post['verifystring'])){

$uid=$this->post['uid'];

$encryptstring=$this->post['verifystring'];

$idstring=$_ENV['user']->get_idstring_by_uid($uid,$this->time);

/* 加入下面两行代码,判断一下空的情况 */

if(empty($encryptstring) || empty($idstring)){

$this->message($error,'BACK',0);

}

或者升级至官方最新版本:



http://kaiyuan.hudong.com/

版权声明:转载请注明来源 zer0@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-09-23 17:14

厂商回复:

最新状态:

2013-09-23:18号放假,确认晚了,漏洞超过确认期限自动公开了。感谢洞主关注。已联系修复。

2013-09-23:感谢zer0的提交。有影响啊有影响。。。没忽略啊没忽略。

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2013-09-23 19:26 | only_guest 认证白帽子 ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术. PKAV已经暂停...)
    0

    呵呵。又是这套啊。 WooYun: 盛大旗下有妖气漫画网任意用户密码修改 我之前发的有妖气主站的任意密码修改。也直接忽略了。 我问原因,也告诉我说是放假没看到。 盛大福利真好。天天放假。

    1# 回复此人
  2. 2013-09-23 20:52 | softbug ( 实习白帽子 | Rank:66 漏洞数:10 | 为人类设计最好的软件,解放人的双手,一起...)
    0

    是的,你这个事情属于小事情,你修改密码,别人就把密码改回去。 又不影响别人总体收入。

    2# 回复此人
  3. 2013-09-23 20:55 | 艾特绅 ( 路人 | Rank:29 漏洞数:9 | 愿意为网络安全做出我的贡献)
    1

    有影响啊有影响。。。没忽略啊没忽略。

    3# 回复此人
  4. 2013-09-25 17:24 | zer0 ( 实习白帽子 | Rank:35 漏洞数:5 | no~)
    0

    4# 回复此人

登录后才能发表评论,请先 登录