票付通某处存在设计缺陷涉及大量企业（可套钱）

2017年4月9日02:07:54评论359 views字数 213阅读0分42秒阅读模式

摘要

2016-03-29：细节已通知厂商并且等待厂商处理中
2016-04-01：厂商已经确认，细节仅向厂商公开
2016-04-11：细节向核心白帽子及相关领域专家公开
2016-04-21：细节向普通白帽子公开
2016-05-01：细节向实习白帽子公开
2016-05-16：细节向公众公开

漏洞概要关注数(6) 关注此漏洞

缺陷编号： WooYun-2016-182337

漏洞标题：票付通某处存在设计缺陷涉及大量企业（可套钱）

漏洞作者：路人甲

提交时间： 2016-03-29 18:42

公开时间： 2016-05-16 16:10

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank： 18

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：逻辑错误

0人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

网址：http://www.12301.cc/

一、登陆处可撞库。这里是没有限制的，我看到提示用户名为商户ID或者手机号，随手用13333333333和密码123456进行尝试，竟然登陆进去了！

二、“合作供应商”处存在越权。第一步账号登陆后，查看“合作供应商”，点击“企业名称”后，遍历ID可越权查看8万7千多用户的账号、账号名和手机号等。

三、获取大量登陆用户。结合第一、二步漏洞，用简单的123456弱口令获得4437个可登陆用户！登陆后输入：http://www.12301.cc/buyProduct.html，可看到已买到的产品。这里以百度糯米网账号为例，可看到已支付但未使用的订单，可根据订单号、取票人手机以及凭证号从而使用别人的订单（简直是免费蹭吃蹭喝蹭玩啊。。。）

四、可隐秘套钱。以账号100009为例，其账号存在185.2元，这个钱可以进行提现和转账，提现主要需要添加银行卡。转账这有个有趣的地方，这需要输入绑定手机的验证码，而我发现修改绑定手机码根本无验证，这就很容易进行转账，但是转完账后，为了避免被用户知道是谁转了账，就需要修改回原来绑定的手机，但这时如何知道重新绑定原来手机时，那个手机收到的验证码呢，刚开始想爆破，发现是6位的就停止挣扎了。这时抓包发现修改绑定手机的逻辑是：先对需要绑定的手机进行验证看是否已被其他用户绑定了，若绑定了就提示已被绑定，若没有就向这个手机发送验证码，但是这里是分两步走，可以通过修改第二步中发送验证码的链接参数mobile为自己手机，从而收到验证码，改回绑定手机为原用户的手机号，无声无息地进行了转账。这里我用账号100009和124138互转0.1元进行了证明。

部分账号（密码123456）：

code 区域

123545
 100009
 124138
 123719
 523370
 123624
 521044
 123886
 515963
 123914
 520788
 523601
 504979
 125289
 522458
 523412
 123914
 123651
 124623
 123918
 123917
 123900
 pftxh
 519920
 518772
 100014
 124254
 123921
 13898886675
 13805085045
 513829
 18987171170
 15280047800
 18650074163
 0001dy
 504222
 xp2015
 jtywqsz
 13057389911
 511436
 mengshan
 862543
 17707097780
 13202772126
 XXY666666
 tiamu001
 513498
 cgp12301
 tbc12301
 wys12301
 blr12301
 lhg12301
 hxl12301
 513992
 13397571234
 18615359951
 15318665803
 13664783797
 yg001
 600836
 qxtf
 qxhq
 Ticketing
 fangxiaoqing
 lushuaicheng
 ST7169111
 LT2300111
 longlong
 xianggang
 861496
 tssxy01
 15972208397
 15800956133
 pandashuai
 minjiang
 zhiyuan
 chenxiufang
 haoyuangong
 cqsmf
 yang123
 wanghuaying
 cewli123
 124228
 13770626440
 lgn001
 18748171696
 513709
 shengxiao
 songyunhua
 ycunhai
 xiaohong
 a123456aa
 lvtingting
 laiyangwen
 lichengbin
 504520
 jkq123456
 862605
 15880013096
 123456td
 cszh99009
 zgw147258
 jff200000
 A0001
 wuhongxia
 512085
 513757
 18808920066
 qiong871103
 yujun
 sws2014
 xiaoling
 sjhly
 pft12301
 517063
 cldy
 512687
 512698
 512771
 513969
 513970
 513971
 513972
 514027
 13452739120
 514342
 A18970053878
 lhld
 123456t
 kefu
 zhangsheng
 yjx01
 test0755
 SZYD001
 WLYD001
 XSYZ317
 ZZCJ002
 ZZCJ003
 861211y
 861211z
 861211x
 chenjianshun
 862875
 513962
 yuangong2
 yg003
 ztr123456
 mmcs
 a13459752442
 100mimmim
 test00000
 ND001
 h2962562756
 zhongliting
 cldyg
 jincheng
 cdhlg
 yg002
 kf001