中国人民保险用户任意密码重置漏洞

漏洞概要

缺陷编号:WooYun-2015-0128695

漏洞标题:中国人民保险用户任意密码重置漏洞

相关厂商:中国人民保险

漏洞作者:0x 80

提交时间:2015-07-25 16:45

公开时间:2015-09-11 08:36

漏洞类型:应用配置错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签:

漏洞详情

披露状态:

2015-07-25: 细节已通知厂商并且等待厂商处理中
2015-07-28: 厂商已经确认,细节仅向厂商公开
2015-08-07: 细节向核心白帽子及相关领域专家公开
2015-08-17: 细节向普通白帽子公开
2015-08-27: 细节向实习白帽子公开
2015-09-11: 细节向公众公开

简要描述:

中国人民保险用户任意密码重置漏洞

详细说明:

http://**.**.**.**/ecenter/views/ecenterClub/loginRegisterNew/login.jsp思路我慢慢来说我先随便重置一个,如admin他是1个查询用户的原理,如果用户存在,那么就会显示看看代码:

这么多格式的账号我先输入admin点忘记密码http://**.**.**.**/ecenter/views/ecenterClub/loginRegisterNew/findPwdFirst.jsp

这里也出现缺陷了用户名和手机都泄露了

我们要利用邮箱验证方式开burp,代理抓包

这时候,重新发送这,点击时截包

修改email=zhoubin@**.**.**.**为自己的邮箱我就修改成我自己的~~然后点下GO发到repeator功能修改下

然后GO

这时候会收到重置密码的邮件

接着,我们看看

http://**.**.**.**/ecenter/ecenterClub/loginRegisterNew/passwordFind/validLink?entryId=d4b413a70e83f19e&email=0419e7160ac6e9140e36ee91c8e906c63eabddd3a4f87073&rand=862f19a4cde963c2

这时候可以重置密码了重置为7788250

这时候问题来了,500错误原因是什么呢?分析下因为不是主人,呵呵而且一次POST请求,他的CODE都是不同的,我们思路是先找回抓包接着,修改地址,给自己发邮件接着,重置密码处再抓包修改回原主人的邮件,即可我们试试重新来~~~·老规矩~~

修改为自己的邮件,然后GO

然后接收激活重置的邮件

打开

重点来了~~我们点下重置http://**.**.**.**/ecenter/ecenterClub/loginRegisterNew/passwordFind/validLink?entryId=d4b413a70e83f19e&email=0419e7160ac6e9140e36ee91c8e906c63eabddd3a4f87073&rand=f04cdc8f7c416612

就改为7788250吧,老规矩,这里需要在修改密码处再次抓包

我们需要把主人换回来还记得主人的邮箱把~~没错,就是他:zhoubin@**.**.**.**改回主人

接着ON下

接下来,admin 7788250登陆看看

成功了

===============================================================再来改个http://**.**.**.**/ecenter/views/ecenterClub/loginRegisterNew/findPwdFirst.jsp改test

老规矩sdfs@**.**.**.**记住主人的邮箱

抓包

修改

接着,激活邮件来了

打开

老规矩更改时抓包还是7788250吧

修改原主人邮箱sdfs@**.**.**.**

接着ON下

test 7788250登陆看看

OK了~~

漏洞证明:

修复方案:

二次验证做一些过滤!

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-07-2808:35

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向中国人保公司通报,对方已经收悉并已及时跟进处置。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 黑翼、 白帽子 | Rank:15 漏洞数:1)

  2. 2010-01-01 00:00 prolog 白帽子 | Rank:518 漏洞数:59)

  3. 2010-01-01 00:00 疯狗 白帽子 | Rank:22 漏洞数:2)

  4. 2010-01-01 00:00 Looke 白帽子 | Rank:1078 漏洞数:85)

  5. 2010-01-01 00:00 泪雨无魂 白帽子 | Rank:11 漏洞数:1)

  6. 2010-01-01 00:00 _Thorns 白帽子 | Rank:796 漏洞数:60)

  7. 2010-01-01 00:00 DloveJ 白帽子 | Rank:731 漏洞数:64)

    狗哥都来了!屌!

  8. 2010-01-01 00:00 0x 80 白帽子 | Rank:967 漏洞数:111)

    @DloveJ 你也来了,更吊

  9. 2010-01-01 00:00 DloveJ 白帽子 | Rank:731 漏洞数:64)

    @0x 80 -_-||

  10. 2010-01-01 00:00 BeenQuiver 白帽子 | Rank:50 漏洞数:6)

    这个算是越权了的

  11. 2010-01-01 00:00 眯眯眼 白帽子 | Rank:76 漏洞数:8)

    so ga

  12. 2010-01-01 00:00 Mowen 白帽子 | Rank:0 漏洞数:0)

    厂商给评论的是15个wb,为什么实际收到的却不是这个,我的评价是9个,实际才2个

  13. 2010-01-01 00:00 BeenQuiver 白帽子 | Rank:50 漏洞数:6)

    @Mowen 走了小厂商流程,rank/5