奥凯航空某系统重置任意用户密码重置

2017年3月26日16:31:54评论410 views字数 234阅读0分46秒阅读模式

摘要

2016-03-21：细节已通知厂商并且等待厂商处理中
2016-03-23：厂商已经确认，细节仅向厂商公开
2016-04-02：细节向核心白帽子及相关领域专家公开
2016-04-12：细节向普通白帽子公开
2016-04-22：细节向实习白帽子公开
2016-04-27：厂商已经修复漏洞并主动公开，细节向公众公开

漏洞概要关注数(17) 关注此漏洞

缺陷编号： WooYun-2016-187223

漏洞标题：奥凯航空某系统重置任意用户密码重置

漏洞作者：黑骑士

提交时间： 2016-03-21 15:31

修复时间： 2016-04-27 14:11

公开时间： 2016-04-27 14:11

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank： 18

漏洞状态：厂商已经修复

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：逻辑错误设计缺陷

5人收藏

漏洞详情

披露状态：

简要描述：

奥凯航空某系统任意用户密码重置

详细说明：

http://ffp.okair.net/welcome.action

奥凯航空祥云俱乐部

经测试之前牛哥提交的漏洞已经修复，但是还是存在重大隐患。在输入正确手机验证码后返回包里的输入新密码页面里有一段代码

只要更改value值即可重置其他用户的密码，试想如果遍历这个值，恐怕全部用户的密码都会被快速重置

该返回包如下

code 区域

HTTP/1.1 200 OK
 Server: Apache-Coyote/1.1
 Content-Type: text/html;charset=utf-8
 Date: Mon, 21 Mar 2016 01:48:47 GMT
 Content-Length: 13925
 
 
 
 <!doctype html>
 <html>
 <head>
 
 <meta charset="utf-8">
 <title>å¥¥å¯èªç©º</title>
 <!--[if lt IE 9]>  
 <script src="/content/js/html5shiv.js" ></script>
 <script src="/content/js/respond.min.js" ></script>
 <![endif]-->
 <link href="/content/css/bootstrap.css" rel="stylesheet">
 <link href="/content/css/common.css" rel="stylesheet">
 
 <!--[if IE 8]>
 <link href="/content/css/forie.css" rel="stylesheet">
 <script src="/content/js/html5shiv.js" ></script>
 <![endif]-->
 <!--[if IE 7]>
 <script>
 alert("æµè§å¨çæ¬è¿ä½ï¼æå¯è½ä¼å½±åæ¨çæµè§ãè¯·ä½¿ç¨é«çæ¬æµè§å¨ï¼~")
 </scrtipt>
 <![endif]-->
 <script src="/content/js/jquery.min.1.10.1.js"></script>
 <script>
  var webPath = "";
 </script>
 </head>
 <body>
  <div style="width: 100%; background: #fff;">
 <div class="container header overflow-h">
  <a href="welcome.action" class="left"> <img
   src="/content/images/top_03.jpg"
   style="display: block; margin-top: 30px"></a> <a
   href="javascript:void(0);" class="left"></a>
  <div class="right mt30 ml30 no-login-infor"
   style="display: block; margin-top: 10px">
 <span style="color:#FF5809">æ¥è®¿é®é91æ¬¡ï¼æ»è®¿é®é162979æ¬¡</span><br/><br/>  <a href="ffplogin.action">ç»å½</a> | <a href="ffpreg.action">æ³¨å</a>
  </div>
  <span class="language  hidden-sm hidden-xs"> <img
   src="/content/images/top_06.jpg"
 style="display: block; margin-top: 20px"></span>
 </div>
 </div>
 <div class="navbar-wrapper">
 <div
  style="width: 100%; height: 5px; overflow: hidden; margin: 0; padding: 0; background: #d55912;"></div>
 <div class="container hidden-xs">
  <ul class="nav-tab">
   <li><a class="menu_a" href="welcome.action"><span>é¦é¡µ</span></a></li>
   <li><a class="menu_a"><span>æçè´¦æ·</span></a>
    <div class="sec_menu shadow">
     <div class="col-lg-3 col-md-3 col-sm-4">
      <div class="overflow-hid" style="margin: 0 auto">
       <hgroup class="mt20 text-align-l">
        <p style="text-align: center">
         <img src="/content/images/tx_06.jpg">
        </p>
        <p class="overflow-hid"
         style="text-align: center; width: 150px; margin: 0 auto">
         <a class="primary-btn-md left" href="ffplogin.action">ä¼åç»å½</a>
         <a class="inq-btn-md left ml10" href="ffpreg.action">æ³¨å</a>
        </p>
        <p class="clear"></p>
        <p class="overflow-hid" style="text-align: center">å å¥ä¼åä¿±ä¹é¨ä¹äº«æ´å¤æå¡!</p>
       </hgroup>
     </div>
    </div>
    <div class="col-lg-9 col-md-9  col-sm-8">
     <div class="col-lg-6 col-md-6  col-sm-6">
      <hgroup class="sec_menu_line">
       <h4>
        <a href="accountinfo.action">è´¦æ·æ±æ»</a>
       </h4>
       <p>è´¦æ·ä¿¡æ¯æ»æ±ãéç¨åå¨åå¡çº§å«æç</p>
      </hgroup>
     </div>
     <div class="col-lg-6 col-md-6  col-sm-6">
      <hgroup class="sec_menu_line">
       <h4>
        <a href="memberaccount.action">è´¦æ·æç»</a>
       </h4>
       <p>æ¥çæ¨çè´¦æ·éç¨åèªç©ºæ´»å¨</p>
      </hgroup>
     </div>
     <div class="col-lg-6 col-md-6  col-sm-6">
      <hgroup class="sec_menu_line">
       <h4>
        <a href="personalinfo.action">ä¸ªäººä¿¡æ¯ç®¡ç</a>
       </h4>
       <p>ç®¡çæ¨çè´¦æ·</p>
      </hgroup>
     </div>
     <div class="col-lg-6 col-md-6  col-sm-6">
      <hgroup class="sec_menu_line">
       <h4>
        <a href="beneficialinfo.action">åè®©äººç®¡ç</a>
       </h4>
       <p>ç®¡çæ¨çåè®©äººä¿¡æ¯</p>
      </hgroup>
     </div>
       </div>
      </div></li>
   <li><a class="menu_a"><span>éç¨ç´¯ç§¯</span></a>
    <div class="sec_menu shadow">
     <div class="col-lg-3 col-md-3 col-sm-4">
      <div class="overflow-hid" style="margin: 0 auto">
       <hgroup class="mt20 text-align-l">
        <p style="text-align: center">
          <img src="/content/images/lc_06.jpg">
        </p>
        <p class="clear"></p>
        <p class="overflow-hid" style="text-align: center">ç§¯ç´¯æ´å¤çäº«ä¼æ ï¼</p>
       </hgroup>
     </div>
    </div>
    <div class="col-lg-9 col-md-9  col-sm-8">
     <div class="col-lg-6 col-md-6  col-sm-6">
      <hgroup class="sec_menu_line">
       <h4>
        <a href="rule!show.action?ruletype=4">é£è¡éç¨</a>
       </h4>
       <p>å¥¥å¯èªç©ºéç¨ç´¯ç§¯è§åæ å</p>
      </hgroup>
     </div>
     <div class="col-lg-6 col-md-6  col-sm-6">
      <hgroup class="sec_menu_line">
       <h4>
        <a href="javascript:void(0);">å¶ä»åä½ä¼ä¼´éç¨</a>
       </h4>
       <p>å»ºè®¾ä¸ï¼æ¬è¯·æå¾</p>
      </hgroup>
     </div>
     <div class="col-lg-6 col-md-6  col-sm-6">
      <hgroup class="sec_menu_line">
       <h4>
        <a href="mileageretroinfo.action">éç¨è¡¥ç»</a>
       </h4>
       <p>éç¨è¡¥ç»ä¿¡æ¯æäº¤åè¡¥ç»é¡»ç¥</p>
      </hgroup>
     </div>
     <div class="col-lg-6 col-md-6  col-sm-6">
      <hgroup class="sec_menu_line">
       <h4>
        <a href="standard.action">åå¥æ åæ¥è¯¢</a>
       </h4>
       <p>åå¥æ åæ¥è¯¢</p>
      </hgroup>
     </div>
       </div>
      </div></li>
   <li><a class="menu_a"><span>éç¨åæ¢</span></a>
    <div class="sec_menu shadow">
     <div class="col-lg-3 col-md-3 col-sm-4">
      <div class="overflow-hid" style="margin: 0 auto">
       <hgroup class="mt20 text-align-l">
        <p style="text-align: center">
          <img src="/content/images/dh_07.jpg">
        </p>
        <p class="clear"></p>
        <p class="overflow-hid" style="text-align: center">éç¨è¶å¤ï¼åæ¢è¶å¤ï¼</p>
       </hgroup>
     </div>
    </div>
    <div class="col-lg-9 col-md-9  col-sm-8">
     <div class="col-lg-6 col-md-6  col-sm-6">
      <hgroup class="sec_menu_line">
       <h4>
        <a href="shopping!av.action">å¥å±æºç¥¨æ°éæ¥è¯¢</a>
       </h4>
       <p>æ¥è¯¢åæ¢å¥å±æºç¥¨æ°é</p>
      </hgroup>
     </div>
     <div class="col-lg-6 col-md-6  col-sm-6">
      <hgroup class="sec_menu_line">
       <h4>
        <a href="javascript:void(0);">åæ¢åè±</a>
       </h4>
       <p>å»ºè®¾ä¸ï¼æ¬è¯·æå¾</p>
      </hgroup>
     </div>
     <div class="col-lg-6 col-md-6  col-sm-6">
      <hgroup class="sec_menu_line">
       <h4>
        <a href="mall.action">éç¨åå</a>
       </h4>
       <p>éè¿éç¨åæ¢ææ°æçåå</p>
      </hgroup>
     </div>
     <div class="col-lg-6 col-md-6  col-sm-6">
      <hgroup class="sec_menu_line">
       <h4>
        <a href="rule!show.action?ruletype=1">å¦ä½åå¥</a>
       </h4>
       <p>åå¥è§åä»ç»</p>
      </hgroup>
     </div>
       </div>
      </div></li>
   <li><a class="menu_a"><span>æ´»å¨ä¸åº</span></a>
    <div class="sec_menu shadow">
     <div class="col-lg-3 col-md-3 col-sm-4">
      <div class="overflow-hid" style="margin: 0 auto">
       <hgroup class="mt20 text-align-l">
        <p style="text-align: center">
          <img src="/content/images/hd_07.jpg">
        </p>
        <p class="clear"></p>
        <p class="overflow-hid" style="text-align: center">ç²¾å½©æ´»å¨æåä¸ï¼</p>
       </hgroup>
     </div>
    </div>
    <div class="col-lg-9 col-md-9  col-sm-8">
     <div class="col-lg-6 col-md-6  col-sm-6">
      <hgroup class="sec_menu_line">
       <h4>
        <a href="ffppro!listPro.action?protype=1">èªç©ºä¿éæ´»å¨</a>
       </h4>
       <p>èªç©ºäº§åä¼æ èµè®¯</p>
      </hgroup>
     </div>
     <div class="col-lg-6 col-md-6  col-sm-6">
      <hgroup class="sec_menu_line">
       <h4>
        <a href="ffppro!listPro.action?protype=2">ä¿±ä¹é¨æ´»å¨</a>
       </h4>
       <p>ä¿±ä¹é¨æ´»å¨æ©ç¥é</p>
      </hgroup>
     </div>
     <div class="col-lg-6 col-md-6  col-sm-6">
      <hgroup class="sec_menu_line">
       <h4>
        <a href="javascript:void(0);">åä½ä¼ä¼´æ´»å¨</a>
       </h4>
       <p>å»ºè®¾ä¸ï¼æ¬è¯·æå¾</p>
      </hgroup>
     </div>
       </div>
      </div></li>
   <li><a class="menu_a"><span>åä½ä¼ä¼´</span></a>
    <div class="sec_menu shadow">
     <div class="col-lg-3 col-md-3 col-sm-4">
      <div class="overflow-hid" style="margin: 0 auto">
       <hgroup class="mt20 text-align-l">
        <p style="text-align: center">
          <img src="/content/images/hb1_07.jpg">
        </p>
        <p class="clear"></p>
        <p class="overflow-hid" style="text-align: center">ç²¾å½©æ´»å¨æåä¸ï¼</p>
       </hgroup>
     </div>
    </div>
    <div class="col-lg-9 col-md-9  col-sm-8">
     <div class="col-lg-6 col-md-6  col-sm-6">
      <hgroup class="sec_menu_line">
       <h4>
        <a href="javascript:void(0);">èªç©ºç±»</a>
       </h4>
       <p>æ¬è¯·æå¾</p>
      </hgroup>
     </div>
     <div class="col-lg-6 col-md-6  col-sm-6">
      <hgroup class="sec_menu_line">
       <h4>
        <a href="javascript:void(0);">éåºç±»</a>
       </h4>
       <p>æ¬è¯·æå¾</p>
      </hgroup>
     </div>
     <div class="col-lg-6 col-md-6  col-sm-6">
      <hgroup class="sec_menu_line">
       <h4>
        <a href="javascript:void(0);">é¶è¡ç±»</a>
       </h4>
       <p>æ¬è¯·æå¾</p>
      </hgroup>
     </div>
     <div class="col-lg-6 col-md-6  col-sm-6">
      <hgroup class="sec_menu_line">
       <h4>
        <a href="javascript:void(0);">ç§è½¦ç±»</a>
       </h4>
       <p>æ¬è¯·æå¾</p>
      </hgroup>
     </div>
     <div class="col-lg-6 col-md-6  col-sm-6">
      <hgroup class="sec_menu_line">
       <h4>
        <a href="javascript:void(0);">ç¹çº¦å®¢æ·</a>
       </h4>
       <p>æ¬è¯·æå¾</p>
      </hgroup>
     </div>
     <div class="col-lg-6 col-md-6  col-sm-6">
      <hgroup class="sec_menu_line">
       <h4>
        <a href="javascript:void(0);">ä¿é©ç±»</a>
       </h4>
       <p>æ¬è¯·æå¾</p>
      </hgroup>
     </div>
       </div>
      </div></li>
   <li><a class="menu_a"><span>å³äºä¿±ä¹é¨</span></a>
    <div class="sec_menu shadow">
     <div class="col-lg-3 col-md-3 col-sm-4">
      <div class="overflow-hid" style="margin: 0 auto">
       <hgroup class="mt20 text-align-l">
        <p style="text-align: center">
          <img src="/content/images/jlb_07.jpg">
        </p>
        <p class="clear"></p>
        <p class="overflow-hid" style="text-align: center">èªè±ªçå°è´µçç¥¥äºä¿±ä¹é¨ï¼</p>
       </hgroup>
     </div>
    </div>
    <div class="col-lg-9 col-md-9  col-sm-8">
     <div class="col-lg-6 col-md-6  col-sm-6">
      <hgroup class="sec_menu_line">
       <h4>
        <a href="instruction!show.action?instype=JLBJS">ä¿±ä¹é¨ä»ç»</a>
       </h4>
       <p>å³äºå¥¥å¯ä¿±ä¹é¨ä»ç»</p>
      </hgroup>
     </div>
     <div class="col-lg-6 col-md-6  col-sm-6">
      <hgroup class="sec_menu_line">
       <h4>
        <a href="instruction!show.action?instype=HYSC">ä¼åæå</a>
       </h4>
       <p>ä¿±ä¹é¨ä¼åæåé¡»ç¥</p>
      </hgroup>
     </div>
     <div class="col-lg-6 col-md-6  col-sm-6">
      <hgroup class="sec_menu_line">
       <h4>
        <a href="instruction!show.action?instype=HYKJS">ä¼åå¡ä»ç»</a>
       </h4>
       <p>å¥¥å¯ä¼åå¡ä»ç»</p>
      </hgroup>
     </div>
     <div class="col-lg-6 col-md-6  col-sm-6">
      <hgroup class="sec_menu_line">
       <h4>
        <a href="instruction!show.action?instype=HYQY">é«ç«¯ä¼åæç</a>
       </h4>
       <p>é«çº§ä¼åæçä»ç»</p>
      </hgroup>
     </div>
       </div>
      </div></li>
      </div>
      </div>
 
  <!--ä»¥ä¸æ¯å¯¼èª-->
  <div class="container mt25" style="background: #fff; height: 400px">
   <h3 style="color: #39c2ff;" class="left">æ¾åå¯ç </h3>
   <div class="shopping-trolley">
    <a href="javascript:void(0);">æäº¤ç³è¯·</a> -<a href="javascript:void(0);">éªè¯èº«ä»½</a>
    -<a href="javascript:void(0);" class="pitch-on">è®¾ç½®æ°å¯ç </a> -<a
     href="javascript:void(0);">æ¾åæå</a>
   </div>
   <div class="col-md-12 col-lg-12 col-sm-12 mb25"
    style="border-top: solid 2px #0076a0"></div>
   
    <form action="resetpwd!resetThird.action" id="passwordform"
     method="post">
     <div class="col-md-12 col-lg-12 col-sm-12" style="background: #fff;">
      <input name="ID" value="140720" type="hidden">
      <input name="verifymode" value="sms"
       type="hidden"> <input name="verifytype"
       value="MMCZYZ" type="hidden">
      <div class="col-md-2 col-lg-2 col-sm-2 text-center li-line2">
       æ°å¯ç ï¼</div>
      <div class="col-md-1 col-lg-1 col-sm-1 text-center li-line2">
       <input type="password" style="height: 25px; line-height: 25px; padding-left: 2%;" name="newb2cpassword" id="newb2cpassword" />
      </div>
     </div>
     <div class="col-md-12 col-lg-12 col-sm-12" style="background: #fff;">
      <div class="col-md-2 col-lg-2 col-sm-2 text-center li-line2">
       ç¡®è®¤å¯ç ï¼</div>
      <div class="col-md-1 col-lg-1 col-sm-1 text-center li-line2">
       <input type="password" style="height: 25px; line-height: 25px; padding-left: 2%;" name="repassword" id="repassword" />
      </div>
     </div>
    </form>
   
   
   <div class="col-md-12 col-lg-12 col-sm-12 text-align-r li-line2 mb30">
    
     <a href="javascript:void(0);" id="btnCommit"
      style="background: #ff7f1e; padding: 10px 30px; color: #fff;">ç¡®è®¤</a>
    
   </div>
  </div>
  </div>
  <!--è¡¨æ ¼ç»æ-->
  </div>
  </div>
 
  <div class="footer mt25">
   <div class="container">
    <div class="col-md-12 col-lg-12 col-sm-12">
     <span class="left">Â©2005 å¥¥å¯èªç©ºæéå¬å¸çæææ ä¿çæææå© äº¬ICPå¤05046014å·</span> <label><img
      src="/content/images/footer_42.jpg"></label>
    </div>
   </div>
  </div>
 </body>
 <script type="text/javascript">
  $(document).ready(function() {
   InitCommit(); //åå§åç»å½åè½
  });
  //åå§åç»å½åè½
  function InitCommit() {
   $("#btnCommit").click(function() {
    var varOption = {};
    var arrData = {};
    
    if($.trim($("#newb2cpassword").val())!=$.trim($("#repassword").val())){
     alert("ä¸¤æ¬¡å¯ç ä¸ä¸ç½®ï¼");
     return;
    }
    arrData.newb2cpassword = $.trim($("#newb2cpassword").val());
 
    if (!arrData.newb2cpassword || arrData.newb2cpassword.length == 0) {
     alert("æ°å¯ç ä¸è½ä¸ºç©º!");
     return;
    }
    $("#passwordform").submit();
   });
  }
 </script>
 </html>

漏洞证明：

http://ffp.okair.net/ffplogin.action

奥凯祥云登陆界面，小帅之前提供的证件号码123456

点击下一步，后台自动给手机发了一条验证码并跳转至下面页面

输入任意验证码000000点击下一步抓包，注意数据包里的ID值119066，记录下来

上面的包提交后返回了一个页面如下，是跳转到报错页面的，这里直接把之前获取的转到输入新密码页面的数据包整个替换上去，也就是详细说明中那一大段代码

然后搜索140720，把他改成牛哥的id 119066提交

跳转至输入新密码页面输入新密码TEST000000

提示更改成功

尝试登陆成功

修复方案：

版权声明：转载请注明来源黑骑士@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2016-03-23 18:29

厂商回复：

非常感谢您帮助我们改进，确实存在此漏洞，目前正在修复中。

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-03-21 15:41 | 牛小帅 ( 普通白帽子 | Rank:1597 漏洞数:386 | bye)

1

关注一下啥姿势

1# 回复此人
2016-03-22 09:33 | 黑骑士 ( 普通白帽子 | Rank:121 漏洞数:22 | 黑色的骑士守护着光明)

1

@牛小帅借用下牛哥的测试账号哈

2# 回复此人

漏洞概要 关注数(17) 关注此漏洞

缺陷编号： WooYun-2016-187223

漏洞标题： 奥凯航空某系统重置任意用户密码重置

相关厂商： okair.net

漏洞作者： 黑骑士

提交时间： 2016-03-21 15:31

修复时间： 2016-04-27 14:11

公开时间： 2016-04-27 14:11

漏洞类型： 设计缺陷/逻辑错误

危害等级： 高

自评Rank： 18

漏洞状态： 厂商已经修复

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 逻辑错误 设计缺陷

5人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 黑骑士@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

漏洞概要关注数(17) 关注此漏洞

漏洞标题：奥凯航空某系统重置任意用户密码重置

漏洞作者：黑骑士

漏洞类型：设计缺陷/逻辑错误

危害等级：高

漏洞状态：厂商已经修复

Tags标签：逻辑错误设计缺陷

版权声明：转载请注明来源黑骑士@乌云

漏洞评价(共0人评价):

登陆后才能进行评分