搜房网某后台几处越权

发表于 2015年06月20日
WooYun漏洞库

漏洞概要

缺陷编号：WooYun-2015-0121763

漏洞标题：搜房网某后台几处越权

漏洞详情

披露状态：

2015-06-20: 细节已通知厂商并且等待厂商处理中
2015-06-22: 厂商已经确认，细节仅向厂商公开
2015-07-02: 细节向核心白帽子及相关领域专家公开
2015-07-12: 细节向普通白帽子公开
2015-07-22: 细节向实习白帽子公开
2015-08-06: 细节向公众公开

简要描述：

就是越权

详细说明：

位置：http://dianpu.fang.com/随意注册帐号进入后台，装修帮后台！1.店铺公告这里。注册了两个帐号做测试，账户A随意发布一条店铺公告，得到店铺公告链接账户B也同样发布一条。在账户A里面用审查元素把账户B的链接ID替换为自己的店铺公告的链接ID，然后编辑，可以直接编辑账户B的公告内容。测试中账户A的公告ID为 358848 账户B的公告ID为363721 证明如下图：1）账户B 发布公告内容：

2）审查元素中把账户B的公告链接ID替换掉账户A的ID

3)点击编辑后显示账户B的公告内容随意修改后保存

4）到账户B中刷新下，看看是否成功！可以看到已经被修改掉了！

2.发布装修案例这里1）随意发布一个装修案例，会得到这个装修案例的ID。如下图

2）随便找个ID来看看人家的装修案例如何，我的ID是1571917 我就看了下1571915这个装修案例，店铺名字和区域可以看出都是人家公司的！

3）在我的装修案例中，审查元素把别人的1571915这个ID 替换掉我的1571917 然后编辑

4）保存后可以发现别人的装修案例就到了我的账户下面，也就是我只要遍历ID就能把所有人的装修案例都借过来使用！... 这种越权方式之前遇到过，很不理解为什么会这样！

3.意见反馈这里1）目前一共有2064条意见反馈

2）同样对我自己的意见反馈的ID进行遍历

数量不多遍历了一下如下一小部分

Request	 contents = '<br>
0	感觉不能单张删除图片，希望能添?<br>
1	asdas';<br>
            jQuery("#txtContent").val(contents);<br>
            jQuery("#slcType").val(typeId<br>
2	欢迎您给我们提出宝贵的使用感受和意见！若您在使用装修帮平台时遇到任何问题或困难，请及时反馈给<br>
3	欢迎您给我们提出宝贵的使用感受和意见！若您在使用装修帮平台时遇到任何问题或困难，请及时反馈给<br>
4	我在上传案例图片时总提示不成功，请尽快处理。';<br>
            jQuery("#txtContent").val(contents);5	';<br>
            jQuery("#txtContent").val(contents);6	我要申请的是装修设计类的装修帮，我申请的时候申请成建材类的了，怎么改';<br>
            jQuery("#txtCont<br>
7	我的店铺页面，点进去是空的。';<br>
            jQuery("#txtContent").val(contents);<br>
            jQuery<br>
8	产品标注总是失败 不能提交~';<br>
            jQuery("#txtContent").val(contents);<br>
            jQuery("<br>
9	请将卫浴水箱系列加入轩斯宝品牌，hansbo';<br>
            jQuery("#txtContent").val(contents);10	';<br>
            jQuery("#txtContent").val(contents);11	希望小区能进行分类 比如在江干区某某小区等...<br>
';<br>
            jQuery("#txtContent").val(contents);12	提一个意见  装修顾问 应该分开 如装饰公司的一块  施工的一块  建材的一块 连我自己找了一天都找不到 建材<br>
13	去甲醛品牌立佳洁在选项里面没有，而现在不存在的天下无贼 和源生态却还在上面，让大家情何以堪啊！！';14	我已经申请了装修顾问的小区,但是我好像没申请过装修顾问啊,有点不太清楚了,假如我已经是装修顾问,在哪里显<br>
15	没有我家品牌咋办？我家品牌：众诚和室，请速回，谢谢';<br>
            jQuery("#txtContent").val(contents<br>
16	我上传的图片不能标注为什么？第二栏让填产品在搜房的具体地址，是什么意思';<br>
            jQuery("#txtCo<br>
17	我是装修公司的，为什么我开的店铺会显示在建材行业？';<br>
            jQuery("#txtContent").val(contents<br>
18	怎么样把店铺地址更改啊';<br>
            jQuery("#txtContent").val(contents);<br>
            jQuery("#slc<br>
19	每次打你们电话都不接';<br>
            jQuery("#txtContent").val(contents);<br>
            jQuery("#slcTy<br>
20	发布灯饰产品，选择品牌，有艾克斯顿品牌，正确应该是艾克诗顿，艾克诗顿也是灯饰里的大品牌，如果错误会影<br>
21	您好！我想请问一下，为什么我的密码始终都是无法修改的呢？';<br>
            jQuery("#txtContent").val(co<br>
22	店铺公告为什么一直不能发布，发布了还是老的，怎么回事啊';<br>
            jQuery("#txtContent").val(cont<br>
23	填写案例的时候，居然出现才写二十多个字，就说500个字已经满了。<br>
为什么不能多提供一些字数了！<br>
';24	填写案例的时候，居然出现才写二十多个字，就说500个字已经满了。<br>
为什么不能多提供一些字数了！<br>
';25	陶瓷方面不是很专业，有些模板方面设置的并不好，如果贵公司有意向在这方面提升的话。可以联系我，QQ：70***<br>
26	在发布促销信息，文字和图片不能并茂哦，只是全图片，后面跟着一排文字了；要么相反。<br>
提意能否在编辑上传<br>
27	为什么我找不到我要发布的品牌呢';<br>
            jQuery("#txtContent").val(contents);<br>
            jQue<br>
28	您好， 我是扬子橱柜的商家，我发信息图片的时候，上面没有“扬子橱柜”选项，请问能帮添加上吗？ 谢谢';29	';<br>
            jQuery("#txtContent").val(contents);30	你好！我写经营项目写错了，我是薇莎瓷砖花都总经销，但是写了装修设计类，搞错了请问我怎么改回建材家<br>
31	您好！为什么我手机收到有预约电话的短信时，我立刻上网查，而我的商铺却没有显示有预约电话呢？这种情况请<br>
32	想更换手机号码，但是那个手机号码已经认证更换不了了，怎么办';

Request contents = '

0 感觉不能单张删除图片，希望能添?

1 asdas';

jQuery("#txtContent").val(contents);

jQuery("#slcType").val(typeId

2 欢迎您给我们提出宝贵的使用感受和意见！若您在使用装修帮平台时遇到任何问题或困难，请及时反馈给

3 欢迎您给我们提出宝贵的使用感受和意见！若您在使用装修帮平台时遇到任何问题或困难，请及时反馈给

4 我在上传案例图片时总提示不成功，请尽快处理。';

jQuery("#txtContent").val(contents);5 ';

jQuery("#txtContent").val(contents);6 我要申请的是装修设计类的装修帮，我申请的时候申请成建材类的了，怎么改';

jQuery("#txtCont

7 我的店铺页面，点进去是空的。';

jQuery("#txtContent").val(contents);

jQuery

8 产品标注总是失败不能提交~';

jQuery("#txtContent").val(contents);

jQuery("

9 请将卫浴水箱系列加入轩斯宝品牌，hansbo';

jQuery("#txtContent").val(contents);10 ';

jQuery("#txtContent").val(contents);11 希望小区能进行分类比如在江干区某某小区等...

';

jQuery("#txtContent").val(contents);12 提一个意见装修顾问应该分开如装饰公司的一块施工的一块建材的一块连我自己找了一天都找不到建材

13 去甲醛品牌立佳洁在选项里面没有，而现在不存在的天下无贼和源生态却还在上面，让大家情何以堪啊！！';14 我已经申请了装修顾问的小区,但是我好像没申请过装修顾问啊,有点不太清楚了,假如我已经是装修顾问,在哪里显

15 没有我家品牌咋办？我家品牌：众诚和室，请速回，谢谢';

jQuery("#txtContent").val(contents

16 我上传的图片不能标注为什么？第二栏让填产品在搜房的具体地址，是什么意思';

jQuery("#txtCo

17 我是装修公司的，为什么我开的店铺会显示在建材行业？';

jQuery("#txtContent").val(contents

18 怎么样把店铺地址更改啊';

jQuery("#txtContent").val(contents);

jQuery("#slc

19 每次打你们电话都不接';

jQuery("#txtContent").val(contents);

jQuery("#slcTy

20 发布灯饰产品，选择品牌，有艾克斯顿品牌，正确应该是艾克诗顿，艾克诗顿也是灯饰里的大品牌，如果错误会影

21 您好！我想请问一下，为什么我的密码始终都是无法修改的呢？';

jQuery("#txtContent").val(co

22 店铺公告为什么一直不能发布，发布了还是老的，怎么回事啊';

jQuery("#txtContent").val(cont

23 填写案例的时候，居然出现才写二十多个字，就说500个字已经满了。

为什么不能多提供一些字数了！

';24 填写案例的时候，居然出现才写二十多个字，就说500个字已经满了。

为什么不能多提供一些字数了！

';25 陶瓷方面不是很专业，有些模板方面设置的并不好，如果贵公司有意向在这方面提升的话。可以联系我，QQ：70***

26 在发布促销信息，文字和图片不能并茂哦，只是全图片，后面跟着一排文字了；要么相反。

提意能否在编辑上传

27 为什么我找不到我要发布的品牌呢';

jQuery("#txtContent").val(contents);

jQue

28 您好，我是扬子橱柜的商家，我发信息图片的时候，上面没有“扬子橱柜”选项，请问能帮添加上吗？谢谢';29 ';

jQuery("#txtContent").val(contents);30 你好！我写经营项目写错了，我是薇莎瓷砖花都总经销，但是写了装修设计类，搞错了请问我怎么改回建材家

31 您好！为什么我手机收到有预约电话的短信时，我立刻上网查，而我的商铺却没有显示有预约电话呢？这种情况请

32 想更换手机号码，但是那个手机号码已经认证更换不了了，怎么办';

端午了，求多赏几个wb买粽子

漏洞证明：

2）审查元素中把账户B的公告链接ID替换掉账户A的ID

3)点击编辑后显示账户B的公告内容随意修改后保存

4）到账户B中刷新下，看看是否成功！可以看到已经被修改掉了！

2.发布装修案例这里1）随意发布一个装修案例，会得到这个装修案例的ID。如下图

2）随便找个ID来看看人家的装修案例如何，我的ID是1571917 我就看了下1571915这个装修案例，店铺名字和区域可以看出都是人家公司的！

3）在我的装修案例中，审查元素把别人的1571915这个ID 替换掉我的1571917 然后编辑

3.意见反馈这里1）目前一共有2064条意见反馈

2）同样对我自己的意见反馈的ID进行遍历

数量不多遍历了一下如下一小部分

Request	 contents = '<br>
0	感觉不能单张删除图片，希望能添?<br>
1	asdas';<br>
            jQuery("#txtContent").val(contents);<br>
            jQuery("#slcType").val(typeId<br>
2	欢迎您给我们提出宝贵的使用感受和意见！若您在使用装修帮平台时遇到任何问题或困难，请及时反馈给<br>
3	欢迎您给我们提出宝贵的使用感受和意见！若您在使用装修帮平台时遇到任何问题或困难，请及时反馈给<br>
4	我在上传案例图片时总提示不成功，请尽快处理。';<br>
            jQuery("#txtContent").val(contents);5	';<br>
            jQuery("#txtContent").val(contents);6	我要申请的是装修设计类的装修帮，我申请的时候申请成建材类的了，怎么改';<br>
            jQuery("#txtCont<br>
7	我的店铺页面，点进去是空的。';<br>
            jQuery("#txtContent").val(contents);<br>
            jQuery<br>
8	产品标注总是失败 不能提交~';<br>
            jQuery("#txtContent").val(contents);<br>
            jQuery("<br>
9	请将卫浴水箱系列加入轩斯宝品牌，hansbo';<br>
            jQuery("#txtContent").val(contents);10	';<br>
            jQuery("#txtContent").val(contents);11	希望小区能进行分类 比如在江干区某某小区等...<br>
';<br>
            jQuery("#txtContent").val(contents);12	提一个意见  装修顾问 应该分开 如装饰公司的一块  施工的一块  建材的一块 连我自己找了一天都找不到 建材<br>
13	去甲醛品牌立佳洁在选项里面没有，而现在不存在的天下无贼 和源生态却还在上面，让大家情何以堪啊！！';14	我已经申请了装修顾问的小区,但是我好像没申请过装修顾问啊,有点不太清楚了,假如我已经是装修顾问,在哪里显<br>
15	没有我家品牌咋办？我家品牌：众诚和室，请速回，谢谢';<br>
            jQuery("#txtContent").val(contents<br>
16	我上传的图片不能标注为什么？第二栏让填产品在搜房的具体地址，是什么意思';<br>
            jQuery("#txtCo<br>
17	我是装修公司的，为什么我开的店铺会显示在建材行业？';<br>
            jQuery("#txtContent").val(contents<br>
18	怎么样把店铺地址更改啊';<br>
            jQuery("#txtContent").val(contents);<br>
            jQuery("#slc<br>
19	每次打你们电话都不接';<br>
            jQuery("#txtContent").val(contents);<br>
            jQuery("#slcTy<br>
20	发布灯饰产品，选择品牌，有艾克斯顿品牌，正确应该是艾克诗顿，艾克诗顿也是灯饰里的大品牌，如果错误会影<br>
21	您好！我想请问一下，为什么我的密码始终都是无法修改的呢？';<br>
            jQuery("#txtContent").val(co<br>
22	店铺公告为什么一直不能发布，发布了还是老的，怎么回事啊';<br>
            jQuery("#txtContent").val(cont<br>
23	填写案例的时候，居然出现才写二十多个字，就说500个字已经满了。<br>
为什么不能多提供一些字数了！<br>
';24	填写案例的时候，居然出现才写二十多个字，就说500个字已经满了。<br>
为什么不能多提供一些字数了！<br>
';25	陶瓷方面不是很专业，有些模板方面设置的并不好，如果贵公司有意向在这方面提升的话。可以联系我，QQ：70***<br>
26	在发布促销信息，文字和图片不能并茂哦，只是全图片，后面跟着一排文字了；要么相反。<br>
提意能否在编辑上传<br>
27	为什么我找不到我要发布的品牌呢';<br>
            jQuery("#txtContent").val(contents);<br>
            jQue<br>
28	您好， 我是扬子橱柜的商家，我发信息图片的时候，上面没有“扬子橱柜”选项，请问能帮添加上吗？ 谢谢';29	';<br>
            jQuery("#txtContent").val(contents);30	你好！我写经营项目写错了，我是薇莎瓷砖花都总经销，但是写了装修设计类，搞错了请问我怎么改回建材家<br>
31	您好！为什么我手机收到有预约电话的短信时，我立刻上网查，而我的商铺却没有显示有预约电话呢？这种情况请<br>
32	想更换手机号码，但是那个手机号码已经认证更换不了了，怎么办';

Request contents = '

0 感觉不能单张删除图片，希望能添?

1 asdas';

jQuery("#txtContent").val(contents);

jQuery("#slcType").val(typeId

2 欢迎您给我们提出宝贵的使用感受和意见！若您在使用装修帮平台时遇到任何问题或困难，请及时反馈给

3 欢迎您给我们提出宝贵的使用感受和意见！若您在使用装修帮平台时遇到任何问题或困难，请及时反馈给

4 我在上传案例图片时总提示不成功，请尽快处理。';

jQuery("#txtContent").val(contents);5 ';

jQuery("#txtContent").val(contents);6 我要申请的是装修设计类的装修帮，我申请的时候申请成建材类的了，怎么改';

jQuery("#txtCont

7 我的店铺页面，点进去是空的。';

jQuery("#txtContent").val(contents);

jQuery

8 产品标注总是失败不能提交~';

jQuery("#txtContent").val(contents);

jQuery("

9 请将卫浴水箱系列加入轩斯宝品牌，hansbo';

jQuery("#txtContent").val(contents);10 ';

jQuery("#txtContent").val(contents);11 希望小区能进行分类比如在江干区某某小区等...

';

jQuery("#txtContent").val(contents);12 提一个意见装修顾问应该分开如装饰公司的一块施工的一块建材的一块连我自己找了一天都找不到建材

15 没有我家品牌咋办？我家品牌：众诚和室，请速回，谢谢';

jQuery("#txtContent").val(contents

16 我上传的图片不能标注为什么？第二栏让填产品在搜房的具体地址，是什么意思';

jQuery("#txtCo

17 我是装修公司的，为什么我开的店铺会显示在建材行业？';

jQuery("#txtContent").val(contents

18 怎么样把店铺地址更改啊';

jQuery("#txtContent").val(contents);

jQuery("#slc

19 每次打你们电话都不接';

jQuery("#txtContent").val(contents);

jQuery("#slcTy

20 发布灯饰产品，选择品牌，有艾克斯顿品牌，正确应该是艾克诗顿，艾克诗顿也是灯饰里的大品牌，如果错误会影

21 您好！我想请问一下，为什么我的密码始终都是无法修改的呢？';

jQuery("#txtContent").val(co

22 店铺公告为什么一直不能发布，发布了还是老的，怎么回事啊';

jQuery("#txtContent").val(cont

23 填写案例的时候，居然出现才写二十多个字，就说500个字已经满了。

为什么不能多提供一些字数了！

';24 填写案例的时候，居然出现才写二十多个字，就说500个字已经满了。

为什么不能多提供一些字数了！

';25 陶瓷方面不是很专业，有些模板方面设置的并不好，如果贵公司有意向在这方面提升的话。可以联系我，QQ：70***

26 在发布促销信息，文字和图片不能并茂哦，只是全图片，后面跟着一排文字了；要么相反。

提意能否在编辑上传

27 为什么我找不到我要发布的品牌呢';

jQuery("#txtContent").val(contents);

jQue

28 您好，我是扬子橱柜的商家，我发信息图片的时候，上面没有“扬子橱柜”选项，请问能帮添加上吗？谢谢';29 ';

jQuery("#txtContent").val(contents);30 你好！我写经营项目写错了，我是薇莎瓷砖花都总经销，但是写了装修设计类，搞错了请问我怎么改回建材家

31 您好！为什么我手机收到有预约电话的短信时，我立刻上网查，而我的商铺却没有显示有预约电话呢？这种情况请

32 想更换手机号码，但是那个手机号码已经认证更换不了了，怎么办';

端午了，求多赏几个wb买粽子

修复方案：

端午了，求多赏几个wb买粽子吃

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：4

确认时间：2015-06-2222:43

厂商回复：

感谢您对搜房安全的关注，您反馈的问题已经转给相关同事处理。

评价

原文连接：搜房网某后台几处越权 所有媒体，可在保留署名、原文连接的情况下转载，若非则不得使用我方内容。

搜房网某后台几处越权

漏洞概要

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

漏洞回应

厂商回应：

厂商回复：

最新状态：

评价