对重庆城的一次大规模安全检测发现可任意账户登录/查询任意号码账户流量花费积分/getshell等一系列漏洞（影响到5724955用户）

一处getshell，在重庆城中的青虫论坛中，对上传类型没有加以限制，导致getshell，

正常上传，

burp抓包，修改后缀为jsp，

ok！

一句话：

http://218.206.27.196:8788//bbs_show//images//upload//2016//04//03//web//193de376a03345c7a98d3693f02bf978.jsp  m:136366

敏感信息

<property name="user" value="whtybbs" />
   <property name="password" value="whtybbs" />

低权限，没进行近一步提权，我的目标是：任意登录账户

但拥有根目录权限，源码泄露，

找了翻日子没找到对应的管理登录账户密码就搁在这里，

后台地址：

http://218.206.27.196:8787/bbs_cms/system/login/init.action

登录时还需要手机验证，哎呦我去= =

我继续找啊找，发现了一处爆账户信息的地方，

在青虫论坛那，点击别人头像查看时进行抓包，

直接用游览器打开，

http://218.206.27.196:8787/bbs_cms/front/user/getUserInfoByID.action?userId=911a6a582f9049849d990ff85aa32ef7 修改id可以达到查看任意账户手机号或邮箱

这个漏洞留着，后面会用到！

该论坛权限控制不当，导致可以通过修改id来越权任意查看动态，私信，发帖等一系列操作！

拿超级版主的id，1a59c9e65d034a62b11bdd2ee5f34fd4

越权查看超级版主的动态，

越权以超级版主身份发帖

其重庆城app还有些越权操作，越权查看中奖纪录！

其也是通过修改id达到越权，

另外在抽奖时进行修改id可越权进行抽奖！

在通过各种思路后无果，没有找到可任意登录的漏洞，不管是找回密码的思路还是修改密码的思路都不行，但是，最终我靠坚持，找到了，

在登录时，用自己的正常用户登录，然后修改返回包，

在id这里，没有加密或限制，导致可通过修改id登录任意账户

拿超级版主的id，1a59c9e65d034a62b11bdd2ee5f34fd4测试

登录成功，

但是只是本地的一个效果，信息什么还是我原来的信息，并不是所越权账户的信息，

相信哪出错了， 这里，

还需要修改一处，手机号，

手机进行专门加密的，找一处自动加密的地方。。。。

在用手机号登陆那里可以输入手机号后抓包，这时数据已经是加密的了，同理，

找回密码那里通过邮箱找回方式时抓包可得到加密后的邮箱地址，登录那里也可以得到加密后的邮箱账号

于是，刚刚挖到的一处爆账户信息的漏洞可以爆出手机号码和邮箱，我们拿超级版主的号来进行登录吧，

id：1a59c9e65d034a62b11bdd2ee5f34fd4

加密后的邮箱账号：aKvpxU1LekEffCeBV7unvMA9CiM9mg2//xSP5Q1w4tGA+66B1+GvjqbcMi0g

好，越权登录之，，

换一个进行测试，这个号由于不是通过手机号注册的所以查不出流量花费等信息，

id:d6ab8cc752e045b097639b11dd3a2e3c

加密后的手机号：aKvpxU1LekEffCeVU573vZQ4e28xkiDqiTfoNhlNsQkL+6h13aA

登录之，success

花费，流量，积分，阅览无遗！

成功登录到重庆城，

还存在一处绑定漏洞，

先正常获取一个绑定邮箱的链接，

http://218.206.27.198:8080/city/api.php?op=platform&opCode=bandemail&method=account.mailActivate&email=aKvpxU1LekEffCesG4urtMAhPi5tijWqiHagNi1NqR0D46xF4GvjqbcMi0g&userId=8172049076684e6c985dac8b17721373&type=2

里面的id是可进行任意修改的，

现在这个号的邮箱是这个，

越权绑定成功，

绑定成功

经过我测试，这招比较狠，就是被越权绑定了邮箱，别人就无法改！

最后可以通过绑定的邮箱来找回密码！

安全测试就到这里！

如上

影响到5724955用户账户敏感信息和安全！

加强验证，控制权限！

厂商回应：

危害等级：中

漏洞Rank：8

确认时间：2016-04-06 15:26

厂商回复：

感谢白帽子的测试，我们会尽快对漏洞进行加固。

最新状态：

暂无

1. 2016-04-04 11:54 | 小龙 ( 普通白帽子 | Rank:2794 漏洞数:540 | 我就问，还有谁！！！！！！！！！！！！！...)

   1

   你直接说500w不就得了。害我数了5个小时才数完。。

   1# 回复此人

2. 2016-04-04 12:11 | 剑影 ( 普通白帽子 | Rank:138 漏洞数:38 | 我相信，科技可以改变一切！也只有科技，能...)

   1

   @小龙 。。。

   2# 回复此人

3. 2016-04-04 19:53 | 邪少 ( 实习白帽子 | Rank:98 漏洞数:16 | 百里长苏)

   1

   你直接说500w不就得了。害我数了5个小时才数完。。

   3# 回复此人

4. 2016-04-05 02:07 | 一闪一闪 ( 路人 | Rank:2 漏洞数:1 | 人生不能想.一想就流泪)

   1

   ............

   4# 回复此人

5. 2016-04-05 14:54 | 羊大仙 ( 路人 | Rank:15 漏洞数:1 | 码字民工，说话，写字，漫画，喝咖啡，听音...)

   1

   重庆城是重庆移动的

   5# 回复此人

6. 2016-04-05 16:22 | f4ckbaidu ( 普通白帽子 | Rank:265 漏洞数:29 | 开发真是日了狗了)

   1

   你直接说500w不就得了。害我数了5天才数完。。

   6# 回复此人

7. 2016-04-05 16:33 | 木易 ( 普通白帽子 | Rank:347 漏洞数:5 | 不，，不要误会，我不是针对谁，我是说在座...)

   1

   额

   7# 回复此人

8. 2016-05-21 16:17 | 终于明白 ( 普通白帽子 | Rank:130 漏洞数:6 | 彩笔一枚。。。)

   0

   6666啊

   8# 回复此人

9. 2016-05-21 23:35 | 尊尼获加 ( 路人 | 还没有发布任何漏洞 | 想要做到不可替代，你就必须与众不同)

   0

   你直接说500w不就得了。害我数了5天才数完。。 又黑我大重庆

   9# 回复此人