WooYun.org

之前要给中兴手机升级
下了个中兴升级工具 每次在线下载的时候都失败
想抓包看看下载地址 发现直接提供ftp地址 账户 和密码
三个地址 有一个是内网的
通过登陆另外两个 好多文件夹 翻着好费劲 找了半天 找到了
今天想整个乌云账号 想起它 不知道可不可以
网站直接提供文件下载 有多难啊 我刷个机费了一天。。。
官网没链接 工具不提供本地文件支持 为什么要这样
我想既然提供了ftp的账户应该是有上传之类的权限 要不没必要用账户吧
这样的话直接替换掉里面的文件 修改成带木马的
比如rom加个假的支付宝客户端 exe加木马
不知道各个工厂售后是不是也用这些ftp升级
那所有手机都改成带木马的 客户端应该是直接刷机不验证rom的
登陆网站直接下了个中兴的软件 告诉说中兴抽奖环球旅游 就是先交税到支付宝
应该也很容易成功吧
受害者告中兴公司诈骗 不知会不会
ftp如果有重要资料 应该没有哈
就算是别的工具 应该也是不想公开的 要不干吗设个账户
给发网上 当然对需要刷机资料的是好事啊 其实也没什么 哈哈
所以很严重 数亿这个级别很恰当啊
通过必须要 邀请必须有啊