### 简要描述: 本屌为穷逼,买不起贵司10+W的而且代码质量高到可怕的产品,所以下了一个D版系统看源码。在网贷之家随机挑了几个站点测试,发现问题都存在…… ### 详细说明: 听说P2P借贷火成狗,然后看了看几家P2P借贷的站点,长得都差不多,看起来好像就是一个妈生的。本来想吐槽一下,关乎钱的事情,就不能认真点吗?但是,转念一想,艾玛,这不是一个通用程序么……赶紧脱掉裤子爽一发。 听说这货的产品卖得死贵(>15W),翻阅了一下写的代码,质量实在对不起这个价格。之前在乌云上厂商还会接点bug打发打发白帽,现在听说弄了个绿M的检测报告之后屌都不屌乌云一下。 扯蛋完毕,本屌是小白一个,还请各位看官海涵。 ============================分割线============================ 其实这不是一个漏洞,而是属于默认密钥未被重置的问题。 先来看看d友的密码重置过程: 发起密码重置 –> 验证用户名与邮箱是否一致 –> 生成并发送令牌 –> 验证令牌 –> 重置密码完成 问题出在验证令牌的流程上。 我们来看看/modules/member/index.php上对密码重置是怎么验证的: ``` …… elseif ($_U[‘query_class’] == ‘updatepwd’){ $updatepwd_msg = “”; if(isset($_REQUEST[‘id’])){ $id = urldecode($_REQUEST[‘id’]); 【$data = explode(“,”,authcode(trim($id),”DECODE”));】 $user_id = $data[0]; $start_time = $data[1]; if ($user_id==””){ $updatepwd_msg = “您的操作有误,请勿乱操作”; }elseif (time()>$start_time+10*60){ $updatepwd_msg = “此链接已经过期,请重新申请”; }else{ $result = usersClass::GetUsers(array(“user_id”=>$user_id)); if ($result == false){ $updatepwd_msg = “您的操作有误,请勿乱操作”;...
### 简要描述: 本屌为穷逼,买不起贵司10+W的而且代码质量高到可怕的产品,所以下了一个D版系统看源码。在网贷之家随机挑了几个站点测试,发现问题都存在…… ### 详细说明: 听说P2P借贷火成狗,然后看了看几家P2P借贷的站点,长得都差不多,看起来好像就是一个妈生的。本来想吐槽一下,关乎钱的事情,就不能认真点吗?但是,转念一想,艾玛,这不是一个通用程序么……赶紧脱掉裤子爽一发。 听说这货的产品卖得死贵(>15W),翻阅了一下写的代码,质量实在对不起这个价格。之前在乌云上厂商还会接点bug打发打发白帽,现在听说弄了个绿M的检测报告之后屌都不屌乌云一下。 扯蛋完毕,本屌是小白一个,还请各位看官海涵。 ============================分割线============================ 其实这不是一个漏洞,而是属于默认密钥未被重置的问题。 先来看看d友的密码重置过程: 发起密码重置 –> 验证用户名与邮箱是否一致 –> 生成并发送令牌 –> 验证令牌 –> 重置密码完成 问题出在验证令牌的流程上。 我们来看看/modules/member/index.php上对密码重置是怎么验证的: ``` …… elseif ($_U[‘query_class’] == ‘updatepwd’){ $updatepwd_msg = “”; if(isset($_REQUEST[‘id’])){ $id = urldecode($_REQUEST[‘id’]); 【$data = explode(“,”,authcode(trim($id),”DECODE”));】 $user_id = $data[0]; $start_time = $data[1]; if ($user_id==””){ $updatepwd_msg = “您的操作有误,请勿乱操作”; }elseif (time()>$start_time+10*60){ $updatepwd_msg = “此链接已经过期,请重新申请”; }else{ $result = usersClass::GetUsers(array(“user_id”=>$user_id)); if ($result == false){ $updatepwd_msg = “您的操作有误,请勿乱操作”; }else{ $_U[‘user_result’] = $result; } } …… ``` 可以看到$data决定了是否能够重置密码,能够重置谁的密码。正常情况下,$data应当是一个拥有两个及以上元素的数组,其中第一个元素表示需要重置的用户ID,第二个元素表示令牌的生成时间(10分钟后过期)。 在$data的解码过程中,authcode函数非常重要,接着来看看authcode函数的处理过程,该函数位于文件/core/function.inc.php: ``` function authcode($string,$operation = ‘DECODE’,$key = ”,$expiry = 0) { $ckey_length = 4; $key = md5($key ?$key : “dw10c20m05w18″); $keya = md5(substr($key,0,16)); $keyb = md5(substr($key,16,16)); $keyc = $ckey_length ?($operation == ‘DECODE’?substr($string,0,$ckey_length): substr(md5(microtime()),-$ckey_length)) : ”; …… ``` 可以看到,这个函数拥有一个默认的密钥,而之前验证的过程中,并没有指定一个特别的密钥。 社会主义的直觉告诉我,那这里就有个世界和平问题。 我随便挑了一个用了这个软件的站点,发起密码重置请求,得到了字符串: [<img src="https://images.seebug.org/upload/201503/051554512da73c484a09370d7a59ed02da8cbeed.png" alt="QQ截图20150305152129.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/051554512da73c484a09370d7a59ed02da8cbeed.png) 本地使用默认密钥反解这个字符串,得到: [<img src="https://images.seebug.org/upload/201503/051555067b50671aae4d1ffc60a584adc2f93a10.png" alt="QQ截图20150305153013.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/051555067b50671aae4d1ffc60a584adc2f93a10.png) 接着,把3494改成1,并加密回去,看看能不能重置这货的密码: [<img src="https://images.seebug.org/upload/201503/05155538b223f186b7e5f911c11210b4e810fea7.png" alt="QQ截图20150305153153.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/05155538b223f186b7e5f911c11210b4e810fea7.png) 呵呵。 更为可怕的是,这货的支付密码还能以同样的方式被重置: [<img src="https://images.seebug.org/upload/201503/05155555fdebf1cb0d0f6c5d5e18a1c1fd81fe2f.png" alt="QQ截图20150305153749.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/05155555fdebf1cb0d0f6c5d5e18a1c1fd81fe2f.png) 嗯,看来过不了几天我就能超越马云爸爸了。哎,警察同志您先别开枪…… ### 漏洞证明:
