聚美优品任意修改用户密码(非爆破)

通过自己账号忘记密码发送邮箱修改密码地址









进入邮箱 不要打开





在同浏览器内打开网站还是忘记密码输入要修改的账号





这一步后停住





在同一浏览器中打开发到我们邮箱的链接





一定同一浏览器输入要修改的密码就OK了





成功进入

修复方案：

版权声明：转载请注明来源
Rocky.Tian@乌云

漏洞回应

厂商回应：

危害等级：中
漏洞Rank：10
确认时间：2014-12-04 14:28

厂商回复：

感谢您对聚美安全的关注

最新状态：

2014-12-04：已修复。这种漏洞应该给 rank 20的，属于高危，怎么改？

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值
漏洞评价(共17人评价):

登陆后才能进行评分

94.2%
5.9%
0%
0%
0%

评价

2014-12-04 14:22 |
疯狗

( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞，心中自然无码。)
1

牛啊这思路

1#

2014-12-04 14:23 |
浩天

( 普通白帽子 | Rank:925 漏洞数:80 | 哈！躁起来！)
1

我喜欢这种思路

2#

2014-12-04 14:25 |
鶆鶈( 普通白帽子 | Rank:325 漏洞数:33 )
1

这思路真是大赞啊。。

3#

2014-12-04 14:25 |
Rocky.Tian( 路人 | Rank:22 漏洞数:2 | 学不止境)
1

找一个人 只有手机号 发现她在聚美优品有Cookie记录，也帮顶了QQ，所以只有这样拿下来，进去看看，其实我是要她QQ和地址！

4#

2014-12-04 14:26 |
0x_Jin( 普通白帽子 | Rank:319 漏洞数:37 | 微博：http://weibo.com/J1n9999 ...)
1

我喜欢这种思路

5#

2014-12-04 14:28 |
浩天

( 普通白帽子 | Rank:925 漏洞数:80 | 哈！躁起来！)
1

我这败家媳妇买了这么多东西

6#

2014-12-04 14:29 |
疯狗

( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞，心中自然无码。)
1

一大堆败家媳妇回家要跪遥控器

7#

2014-12-04 14:29 |
Rocky.Tian( 路人 | Rank:22 漏洞数:2 | 学不止境)
1

@浩天 这是我媳妇。。。。

8#

2014-12-04 14:30 |
Rocky.Tian( 路人 | Rank:22 漏洞数:2 | 学不止境)
1

@疯狗 我滴媳妇

9#

2014-12-04 14:32 |
D_in( 普通白帽子 | Rank:423 漏洞数:65 | 到我嘴里来)
1

mark

10#

2014-12-04 14:54 |
进击的zjx( 普通白帽子 | Rank:1712 漏洞数:224 )
1

牛啊这思路（我看不到，但请允许我装个逼）

11#

2014-12-04 15:15 |
′雨。

( 普通白帽子 | Rank:1332 漏洞数:198 | Only Code Never Lie To Me.)
1

牛逼， 这思路， 又学习了，

12#

2014-12-04 15:20 |
子非海绵宝宝

( 核心白帽子 | Rank:1413 漏洞数:148 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)
1

坐等思路

13#

2014-12-04 15:20 |
子非海绵宝宝

( 核心白帽子 | Rank:1413 漏洞数:148 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)
1

@聚美优品 修复就公开了吧

14#

2014-12-04 15:27 |
if、so

( 核心白帽子 | Rank:1204 漏洞数:104 | Enjoy Hacking)
1

感觉系统邮箱被搞了

15#

2014-12-04 15:29 |
hkAssassin( 普通白帽子 | Rank:395 漏洞数:73 | 我是一只毛毛虫。)
1

这是什么思路，求细节。

16#

2014-12-04 15:37 |
xsser

( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
1

@if、so 来个猜对有奖活动吧

17#

2014-12-04 15:47 |
秋风( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚，关注互联网安全)
2

擦，咋感觉楼上都能看到详情，这不科学！

18#

2014-12-04 15:57 |
茜茜公主( 普通白帽子 | Rank:2409 漏洞数:414 | 家里二宝出生，这几个月忙着把屎把尿...忒...)
2

这思路，太牛逼了，怎么想到的

19#

2014-12-04 15:58 |
D＆G( 普通白帽子 | Rank:780 漏洞数:158 | going)
1

已复现，不知道思路对了没。

20#

2014-12-04 15:59 |
紫霞仙子

( 普通白帽子 | Rank:2302 漏洞数:307 | 没好团队，啥都干不成！！！)
1

又闪电

21#

2014-12-04 16:15 |
聚美优品(乌云厂商)
1

确实神思路，醉了

22#

2014-12-04 16:27 |
pandas( 普通白帽子 | Rank:730 漏洞数:84 | 国家特级保护动物)
1

牛逼，啥原理呢? session紊乱?

23#

2014-12-04 16:33 |
D_in( 普通白帽子 | Rank:423 漏洞数:65 | 到我嘴里来)
1

能看到了，这思路，真是牛，什么原因

24#

2014-12-04 16:34 |
孤独雪狼

( 普通白帽子 | Rank:761 漏洞数:159 | 七夕手机被偷，这坑爹的七夕啊 。。。。)
1

醉了 好淫荡呀

25#

2014-12-04 16:35 |
浩天

( 普通白帽子 | Rank:925 漏洞数:80 | 哈！躁起来！)
1

向要修改的的邮箱发一个修改密码的请求，那么这个账号就被标记为要修改密码的状态，这个是关键

26#

2014-12-04 16:37 |
bupter( 路人 | Rank:0 漏洞数:1 | 曾经爱过！！)
1

不讲思路只讲过程，感觉有点徐悲鸿画马的味道。

27#

2014-12-04 16:37 |
Blackeagle( 实习白帽子 | Rank:62 漏洞数:10 | 向WooYun致敬)
1

奇淫妓巧 这思路 醉了

28#

2014-12-04 16:42 |
小胖胖要减肥

( 普通白帽子 | Rank:686 漏洞数:101 )
1

@浩天 其实就是越权吧，eid或者sid没有校验用户

29#

2014-12-04 16:43 |
紫霞仙子

( 普通白帽子 | Rank:2302 漏洞数:307 | 没好团队，啥都干不成！！！)
1

向要修改的的邮箱发一个修改密码的请求，那么这个账号就被标记为要修改密码的状态，这个是关键

30#

2014-12-04 16:43 |
肉肉

( 普通白帽子 | Rank:112 漏洞数:10 | 肉肉在长亭科技，肉肉在长亭科技，肉肉在长...)
1

好神奇的

31#

2014-12-04 16:44 |
想要减肥的胖纸( 普通白帽子 | Rank:255 漏洞数:43 )
1

应该是cookie的问题···被设置了一个类似toke的东西 略懂

32#

2014-12-04 16:47 |
Coody

( 核心白帽子 | Rank:1809 漏洞数:214 | 不接单、不黑产；如遇冒名顶替接单收徒、绝...)
1

@想要减肥的胖纸 必须为同一浏览器，目测可以共用这一token

33#

2014-12-04 16:50 |
Nebula( 普通白帽子 | Rank:223 漏洞数:23 | xxxxx)
2

应该是ssesion或cookie的覆盖(它被用作修改指定用户的密码,可能就是用户名),而服务器端只是简单判断了一下修改链接的key是否存在就可以修改密码了,而没有判断key是否对应指定用户名?

34#

2014-12-04 16:51 |
cnrstar( 普通白帽子 | Rank:161 漏洞数:24 | Be my personal best!)
1

@浩天 @Rocky.Tian 谁的媳妇cyj_829pconline13088929286cyj_829@163.com

35#

2014-12-04 16:51 |
Coody

( 核心白帽子 | Rank:1809 漏洞数:214 | 不接单、不黑产；如遇冒名顶替接单收徒、绝...)
1

类似于验证码复用。。。。。

36#

2014-12-04 16:56 |
ppt( 路人 | Rank:11 漏洞数:2 | ) | ( 我猜出了用户名，可我没猜出密码。)
2

应该是通过session验证，两个用户使用的是同一个session提交的，作者说要用同一个浏览器。

37#

2014-12-04 17:02 |
zzR

( 核心白帽子 | Rank:1408 漏洞数:127 | 东方红＊＊联盟欢迎你－0-)
1

应该34 楼说的那样吧，也是神逻辑

38#

2014-12-04 17:10 |
xinghe( 路人 | Rank:13 漏洞数:10 | )
1

思路不错

39#

2014-12-04 17:26 |
px1624( 普通白帽子 | Rank:1171 漏洞数:207 | px1624)
1

搞了半天，原来厂商这充值密码的链接里面就没有帐号相关的加密验证，厂商竟然还不知道怎么修。。。

40#

2014-12-04 17:35 |
小鲜肉( 实习白帽子 | Rank:34 漏洞数:6 | 努力学习，不想在浪费时间了。)
1

@xsser @浩天 没怎么看明白，上面是说可以修改任意用户的密码，他这思路第一步必须进入找回密码的邮箱，虽然不要点邮箱里面的修改密码的连接，但是邮箱帐号和密码不是本人的话，几乎没有机会获取到，不登录找回密码的邮箱，也会是这种结果？

41#

2014-12-04 17:39 |
浩天

( 普通白帽子 | Rank:925 漏洞数:80 | 哈！躁起来！)
2

@小鲜肉 先向自己邮箱发一封找回密码，再向媳妇的邮箱发一封，当前浏览器记录媳妇的账户信息，然后去自己的邮箱点击找回密码链接，读取了存在浏览器媳妇的账户信息，成功修改了密码。以前也遇到过类似的案例

42#

2014-12-04 17:46 |
小鲜肉( 实习白帽子 | Rank:34 漏洞数:6 | 努力学习，不想在浪费时间了。)
1

@浩天 刚才没有注意看，两个邮箱是不同的，你一解释就明白了，谢了雷锋。

43#

2014-12-04 18:14 |
火焰真菌( 实习白帽子 | Rank:51 漏洞数:17 | 123)
1

牛逼

44#

2014-12-04 18:26 |
pangshenjie( 普通白帽子 | Rank:110 漏洞数:14 )
1

神思路。

45#

2014-12-04 18:41 |
带我玩( 路人 | Rank:16 漏洞数:8 | 带我玩)
1

思路好银荡的说

46#

2014-12-04 19:49 |
Rocky.Tian( 路人 | Rank:22 漏洞数:2 | 学不止境)
1

我当时没有账号 所以提交的漏洞信息 现在有账号了 怎么样转到我的名下？我拿着俺对象的试验的我有一个人的手机号 想找到他的QQ 然后发现法的cookie 在聚美优品，所以想到了如此损招！太恐怖了

47#

2014-12-04 20:03 |
小飞侠( 路人 | Rank:4 漏洞数:2 | 好好学习，天天向上)
1

给思路赞一个~

48#

2014-12-04 20:39 |
goubuli( 普通白帽子 | Rank:689 漏洞数:122 )
1

厂商修复好神速~

49#

2014-12-04 20:55 |
pain( 路人 | Rank:16 漏洞数:6 )
1

虽不明，但觉厉

50#

2014-12-04 21:54 |
机器猫( 普通白帽子 | Rank:1358 漏洞数:291 | 爱生活、爱腾讯、爱网络！一个有梦想的16岁...)
1

牛逼啊。

51#

2014-12-04 22:09 |
pain( 路人 | Rank:16 漏洞数:6 )
1

@Rocky.Tian 找乌云小秘书说一下就能转到你名下了

52#

2014-12-04 22:32 |
银冥币( 实习白帽子 | Rank:65 漏洞数:25 | test" src="/upload/avatar/avatar_251_b.j...)
1

共用session和验证不严格导致,思路叼

53#

2014-12-04 22:48 |
U神( 核心白帽子 | Rank:1375 漏洞数:152 | 乌云核心菜鸟，此号处于联盟托管中....)
1

应该是记录了修改提交的账号，可能是session问题

54#

2014-12-04 23:35 |
wkc_2014( 普通白帽子 | Rank:172 漏洞数:48 | 2014-)
1

流弊

55#

2014-12-05 10:01 |
BMa

( 核心白帽子 | Rank:2078 漏洞数:229 )
1

@聚美优品 后台是什么逻辑？让我等涨涨见识呗，反正已经修复了

56#

2014-12-05 11:42 |
redsin( 路人 | Rank:16 漏洞数:6 )
1

麻痹 这怎么想到的？

57#

2014-12-05 14:51 |
乌云( 实习白帽子 | Rank:66 漏洞数:14 | a)
1

我尼码。。。 这个竟然是利用session来对应账号的修改。。。醉了。。看样“session不可改” 这句话也得分情况了。。。

58#

2014-12-05 15:05 |
Woodee( 路人 | 还没有发布任何漏洞 | 乌云路人甲，打脸pa pa pa)
1

2014-12-04：已修复。这种漏洞应该给 rank 20的，属于高危，怎么改？

59#

2014-12-06 19:12 |
斯杰( 路人 | Rank:10 漏洞数:5 | By：S丶jer)
1

这是要火的节奏啊

60#

2014-12-06 20:13 |
小呆呆( 实习白帽子 | Rank:41 漏洞数:7 | 每次有人骂我猪我都说我偶像也是猪)
1

这都行！

61#

2014-12-08 11:57 |
大大怪( 路人 | Rank:0 漏洞数:1 | PHP 爱好者)
1

这种rank 最多打3分。从 url 中也能看出来 sid 就是 session_id 。 url 中还有个 | 而这种参数一般不会用程序去取，太麻烦还要分隔。最后面是 back 地址，很好分析。厂家这么相信session 这水平可想而知。

62#

2014-12-08 18:26 |
小涛( 路人 | Rank:17 漏洞数:8 | 小老弟,你跟谁俩呢)
1

都是这么厉害啊 唉 我这种小菜 只能看 着你们在自由都翱翔

63#

2014-12-12 14:20 |
Mr.Wang( 路人 | 还没有发布任何漏洞 | 黑与白的对立中，寻求突破。)
1

思路叼到爆点。

64#

2014-12-12 15:55 |
milan( 普通白帽子 | Rank:170 漏洞数:45 | 妈妈说：搬不完砖就别回家。)
1

mark

65#

2014-12-14 12:23 |
魂淡、( 路人 | Rank:17 漏洞数:2 | 么么哒)
2

@浩天 @疯狗 @xsser 2014-12-04：已修复。这种漏洞应该给 rank 20的，属于高危，怎么改？

66#

2014-12-23 15:26 |
xFrank( 路人 | Rank:10 漏洞数:1 | 专注Android系统安全)
1

不明觉厉

67#

2014-12-24 16:48 |
Mixes( 普通白帽子 | Rank:116 漏洞数:20 | :))
1

@cnrstar 姓名: 陈奕君手机: 13008492905家庭电话: 0917-8668102性别: 女生日: 1985年08月29日地址: 西安翻译学院户口所在地: 陕西邮编: 710105是我媳妇

68#

2015-01-05 13:35 |
铁蛋火车侠( 普通白帽子 | Rank:156 漏洞数:31 | Q群371620085 技术交流群 有漂亮妹纸！)
1

好想法

69#

2015-01-05 18:25 |
cooFool( 路人 | Rank:5 漏洞数:3 )
1

极度猥琐！！

70#

2015-01-15 20:54 |
李宇航的小柠檬( 路人 | Rank:5 漏洞数:1 | 小柠檬甜不甜)
1

@浩天 聚美某汪已被开除

71#

2015-02-04 10:31 |
深夜大冒险( 实习白帽子 | Rank:34 漏洞数:5 )
0

吓得我不敢败家了

72#

2015-05-16 13:54 |
Lo0ston( 路人 | 还没有发布任何漏洞 | 热爱渗透)
0

貌似是利用cookies，思路真的不错

73#

2015-07-15 21:02 |
theone( 实习白帽子 | Rank:50 漏洞数:9 | hodor，hodor)
0

mark

74#

2016-02-23 22:40 |
情痴( 实习白帽子 | Rank:38 漏洞数:12 | 乌云最菜的菜鸟)
1

小菜鸟默默的表示膜拜