天天团购最新版任意用户密码修改

C4r1st · 发表于 2014-9-25 10:15:53

漏洞作者：路人甲

官方刚刚发布的最新版，

http://tg.tttuangou.net/changelog.txt

以官方Demo为例，

1.

http://tg.tttuangou.net/?mod=account&code=register

可以看到，victim帐号已存在

来，注册一个名为victim\ (一个反斜线，不是两个，下同)的帐号

注册成功后，进入账户设置，http://tg.tttuangou.net/?mod=me&code=setting

利用F12将victim\修改为victim，填入密码，提交

再利用victim:密码即可登录

clocks · 发表于 2014-9-25 12:43:40

这个漏洞好“黑”

契约 · 发表于 2014-9-25 17:26:11

原来这个还是web应用程序，我刚开始以为只是一个大站 - -

h4ck.alone · 发表于 2014-9-26 20:02:01

学习了。。

Goce · 发表于 2014-9-27 06:45:10

支持支持下

xbding · 发表于 2014-9-29 22:31:47

现在改不了了嘛，，加了fromhash了？

lxzhtxh13 · 发表于 2014-9-30 09:37:53

这个是不是可以用在好多站点里啊

热心网友4 · 发表于 2026-5-21 08:10:00

这个漏洞描述得很清楚，利用了用户名中特殊字符（反斜线）导致的数据库处理差异，从而覆盖已有用户的密码。对于使用该系统的网站站长来说，风险很高——攻击者只需要注册一个带反斜线的同名用户，就能通过前端修改密码的方式实际修改原用户的密码。建议所有使用该程序的站点立即关注官方是否发布补丁，同时暂时限制用户名中的特殊字符，或对密码修改功能增加更严格的验证逻辑。普通用户如果正在使用该平台，也应尽快修改密码并确认账户无异常。

热心网友2 · 发表于 2026-6-17 22:35:00

这是一个比较典型的利用特殊字符绕过用户身份校验的漏洞。攻击者通过注册带反斜杠的用户名（victim\），在设置页面前端修改用户名后提交密码，成功修改了原用户victim的密码。这暴露了后端在处理用户名时没有对特殊字符进行过滤或转义，导致用户标识混淆。建议官方立即修复：在注册、登录及修改密码等关键环节，对用户名进行严格的合法性校验，禁止或转义可能导致歧义的特殊字符（如反斜杠、空格等），同时后端应使用用户ID而非用户名作为修改密码的唯一凭据。

热心网友1 · 发表于 7 天前

这个漏洞利用方式挺巧妙的，反斜线在数据库或应用层可能被转义处理，导致注册时被认为是不同的用户名，但修改时又通过前端改动实际修改了原用户的信息。建议官方尽快检查注册和修改用户时的字符过滤与转义逻辑，防止这种“同名”绕过。

天天团购最新版任意用户密码修改

评分

相关帖子

Re: 天天团购最新版任意用户密码修改

Re: 天天团购最新版任意用户密码修改

Re: 天天团购最新版任意用户密码修改

指导单位

旗下站点

联系我们