金蝶云之家博客任意用户密码重置

基本字段

漏洞编号：: SSV-93767

披露/发现时间：: 2014-01-22

提交时间：: 2014-01-22

漏洞等级：

漏洞类别：: 其他类型

影响组件：: Kingdee

漏洞作者：: dust_jead

提交者：: Knownsec

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

http://wooyun.org/bugs/wooyun-2014-049560

漏洞详情

贡献者 Knownsec 共获得 0KB

### 简要描述： ### 详细说明：地址： http://kdweibo.com/home 依次点击：登陆-->忘记登陆密码然后登陆邮箱查看重置链接是否存在缺陷 [<img src="https://images.seebug.org/upload/201401/22155658a3b0c3d7681db332edfa01b0680e146e.jpg" alt="ld01.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/22155658a3b0c3d7681db332edfa01b0680e146e.jpg) 上图中可看到，请求链接存在u和t的参数：尝试数次后可观察到，u是固定不变的，大概是userName相关的串，而t是有规律的递增。紧接着尝试重置密码的操作，发现u这个参数是无用的，post请求只发送一个t参数和表单中的新密码，如下图： [<img src="https://images.seebug.org/upload/201401/221601041a1caada11a3c0a3513bf0ae4cb354d6.jpg" alt="ld02.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/221601041a1caada11a3c0a3513bf0ae4cb354d6.jpg) [<img src="https://images.seebug.org/upload/201401/22160123513092eb68944ae66ac496bbad71d7ad.jpg" alt="ld03.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/22160123513092eb68944ae66ac496bbad71d7ad.jpg) 好了，现在我们开始研究这个t参数。在找回密码的第一个页面，连续数次提交我的邮箱地址，获取到5个重置密码的链接，把他们列在下面观察一下： [<img src="https://images.seebug.org/upload/201401/22160447460a1128e7e32d44e2375ccab2713627.jpg" alt="ld04.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/22160447460a1128e7e32d44e2375ccab2713627.jpg) 可以看出，t参数只有5-8位和最后4位是会变化的，均是自增，变化幅度跟时间有关，初步判定这个t参数仅是根据服务器的时间戳生成的。由此，就可以轻易地猜出这个t参数，做个示范：假设我想重置这个人的密码，他邮箱是target@163.com 而我自己的邮箱是me@163.com，我便可以如此操作： 1.在找回密码的第一个页面，提交我自己的邮箱 me@163.com 2.然后连续提交数次目标者的邮箱 target@163.com 3. 再提交一次我自己的邮箱 me@163.com 这时我的邮箱变收到一前一后两个t参数： 52df 773f 24ac5b651d28 8d42 52df 774d 24ac5b651d28 8d54 那目标者收到的token 5-8位一定是 7740-774c 后四位范围一定是 8d44-8d52之间的偶数此时，小试数次便可试出目标者的重置密码链接： [<img src="https://images.seebug.org/upload/201401/221614555dcbdd4eaac2dad5e1238a4b9b618dfc.jpg" alt="ld05.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/221614555dcbdd4eaac2dad5e1238a4b9b618dfc.jpg) 重置完密码，自动跳转到目标者的微博主页： [<img src="https://images.seebug.org/upload/201401/22161539ce6fc14fcc3ff927a9500fbc40222f44.jpg" alt="ld06.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/22161539ce6fc14fcc3ff927a9500fbc40222f44.jpg) ### 漏洞证明：如上

共 0 兑换了

PoC

暂无 PoC

参考链接

http://wooyun.org/bugs/wooyun-2014-049560

解决方案

临时解决方案

暂无临时解决方案

官方解决方案

暂无官方解决方案

防护方案

暂无防护方案

※本站提供的任何内容、代码与服务仅供学习，请勿用于非法用途，否则后果自负

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机现在绑定

暂无评论

金蝶云之家博客任意用户密码重置

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机 现在绑定

暂无评论

您好，

您好，

评论前需绑定手机现在绑定