漏洞标题 Dudu Niu Baile bar密码重置漏洞/涉及279网吧在线用户数据安全 相关制造商 涂鸦牛 漏洞作者 易勋 提交时间 2016-06-14 17: 28 公共时间 2016-06-19 18: 20 漏洞类型 敏感信息披露 危险等级 高 自我评估等级 20 漏洞状态 已提交给第三方合作机构(公安部) 标签标签 涂鸦牛,密码重置 漏洞详细信息 补充 网址: http://**。**。**。**/login/login.jsp admin检查主管验证码所在的位置
1.我们选择管理员帐户admin来执行密码重置,源代码包含emailhi数据并尝试更改为自己的邮箱。
2.发送验证邮件并成功收到验证码
3.使用验证码将密码重置为111111并登录并查找是否存在超级控制密码。它仍在本地验证。所以我在admincheck.jsp的js脚本中找到了超级管理验证码009709。
4.输入超级管验证码并成功登录。
漏洞证明: 和主站在同一台服务器上
查询涉及279家网吧的所有互联网用户的个人隐私。现在有240,000人在线10: 18
修改网吧的到期时间,因为收费了嘟嘟声
初始化网吧所有者的密码。登录后,管理各种网吧,奖品,金豆,留言板,语言广播和查看在线客户的活动。金豆可以随时兑换电话费和Q币
修理计划: 本地验证已更改为网络验证 版权声明:请注明出处YI XUN @乌云