当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-025263

漏洞标题:城通网盘VIP订单存在业务隐患,可在线提权

相关厂商:城通网盘

漏洞作者: imlonghao

提交时间:2013-06-06 17:46

修复时间:2013-07-21 17:47

公开时间:2013-07-21 17:47

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-06-06: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-07-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

城通网盘(400gb.com)VIP订单存在隐患,一键开通VIP+系统管理员 (不过貌似没什么权限)
貌似也很久没发洞了...-,-;;
一直想发些好玩的东西,但,没找到 - -
http://imlonghao.com/post/2013-06-06/城通网盘vip订单存在业务隐患 (骗流量的.在已修复的情况下可能会公开 -,-)

详细说明:

城通网盘对VIP服务进行支付时,运用的是相对安全的订单id支付,相对于直接使用金额来传输的话相对安全一些。
但是,对于订单的id而言,和大多数厂商一样,都是采用简单的1,2,3,4,......,n-1,n这种格式的,因此,对于这种id格式的,可以进行遍历,这貌似在《白帽子讲web安全》里面有这个剧情...
自行查阅课本..- -
简单的看了看,城通网盘总共有9个不同的套餐
第一个是2
这里就发现问题了,第一个不是1,而是2,说明id=1的时候要么被删除了,要么是另外一个不显示的方案。
于是乎,将购买链接改成:

http://home.400gb.com/mydisk.php?item=vip&action=pay&viptype=1


提交,妥妥的存在这个订单..
完了发现,这还是个神奇的订单。。
免费开通了个VIP,然后头衔变成了系统管理员.....
可见,viptype=1这个套餐为管理员用的一个不对外公开的套餐。
但是,由于viptype可以被遍历,于是=1这个套餐也就被公开掉了。
(另外,可以越权删除别人的文件,请自行测试。
若需帮助,请指出!)

漏洞证明:

400gb_1.png


400gb_2.png


400gb_3.png


400gb_4.png


400gb_5.png


400gb_6.png


修复方案:

viptype=1这种东西还是自己后台对着指定用户改吧。
测试用户:imlonghao 以及 wooyun
可以试试将viptype这个参数改为比较随机的、不容易被遍历的参数
viptype=r14718y4
viptype=hg894h0g
viptype=g3d289dg
etc.

版权声明:转载请注明来源 imlonghao@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝