漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-072632
漏洞标题:定位宝可定位任意客户手机号码/无限制使用/登陆任意账号(包括管理员)/可以监听手机,定位,查看对方行踪
相关厂商:dwb.so
漏洞作者: Ban have
提交时间:2014-09-04 15:51
修复时间:2014-10-19 15:52
公开时间:2014-10-19 15:52
漏洞类型:设计错误/逻辑缺陷
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-09-04: 细节已通知厂商并且等待厂商处理中
2014-09-04: 厂商已经确认,细节仅向厂商公开
2014-09-14: 细节向核心白帽子及相关领域专家公开
2014-09-24: 细节向普通白帽子公开
2014-10-04: 细节向实习白帽子公开
2014-10-19: 细节向公众公开
简要描述:
[定位宝]路遇Ban have,善良之人搭救,不求回报。rank即可。哈!--
第一弹哦!
详细说明:
我自评就20吧 其实30也不为过吧?
漏洞证明:
百度搜索定位宝 dwb.so
第一弹没什么技术含量-.-.
权限控制:发送短信/发送彩信 *询问* (我使用的手机自带的,没有的可以使用防护软件例如360,LBE安全大师...无需root)
#使用任意手机号注册:
随便输入手机号码,选择发送验证码。权限控制会弹出上面的框框。就可以看到验证码内容了。直接拒绝发送,输入验证码,OK登陆成功了<img
结果页面
#登陆用户的账号,以便获得其所在位置:
登陆成功!
start open GPS---
定位成功!
#如何获得用户的账号:
加入官方群,可以询问或者社工群成员的手机号码就OK。或者社工库查找手机号码。
我是直接询问的……
#漏洞证明:
修复方案:
So,easy!
在这里我就简单的说两种方法吧:
#1 如果资金允许。使用网络发信平台,例如:申请浏览http://dwb.so/check.php 网页形式读取手机状态IMEI或其他信息,自动生成验证码通过网络平台发送到手机。可绑定手机,实现一机一号。
#2 如若资金不太充足。可以自己编写一款加密或者调用其它的的加密方法。同样方法本机发送验证码将验证码加密,读取短信将验证码发送到服务器解密程序,例如123加密后为zxc789可以将zxc789发送到http://dwb.so/jm.php&key=AC1G15G1DS51BFD51B?ID=zxc789解密返回自动登陆。
验证码最好加密,它就属于密码。
尽量不要使用本机发送数据,且尽量少使用本机客户的权限。能替代尽量替代。
版权声明:转载请注明来源 Ban have@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2014-09-04 15:57
厂商回复:
此漏洞,是设计遗漏,尽快修复!
最新状态:
2014-09-05:人艰不拆,现在很艰难,还是被拆了。这帮小屁孩,做事欠周全,下周上班要好好的治治!