当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0184751

漏洞标题:APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

相关厂商:tddpay.com

漏洞作者: 小龙

提交时间:2016-03-14 23:36

修复时间:2016-03-19 23:40

公开时间:2016-03-19 23:40

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-03-14: 细节已通知厂商并且等待厂商处理中
2016-03-19: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

三维度,秉承“互联网生活+”理念,以游戏社交、全球购物、移动金融为核心,打造将互联网和生活紧密融合的生活应用型APP。[1] “互联网生活+”,即融合互联网与生活,打造互联网+购物、互联网+游戏、互联网+社交三位一体的互联网生活平台。在“三维度”APP中,用户可以便捷地全球购物,并通过游戏社交的方式获得各种惊喜并结交朋友。[2]

详细说明:

客户端盲打
得到
toplocation : https://112.124.8.165:5887/orders/orders_list.jsp#
cookie : username=tdd152; AgentID=1006; DeviceID=8106


看到 usernam=tdd152
不难想象
192 191 302 false false 223
299 298 302 false false 223
329 328 302 false false 223
343 342 302 false false 223
362 361 302 false false 223
369 368 302 false false 223
375 374 302 false false 223
384 383 302 false false 223
TT三位数字,爆破一下,密码123456的 返回233即可进入
映入我眼帘的是

1.png


发现他post请求是把用户名带入进去而已
爆破下看看

2.png


神逻辑。身份证打码了。图片能看到。

request	payload	status	error	timeout	length	comment
1	18682130587e	200	false	false	2216	
11	caojing	200	false	false	2393	
19	chenbin	200	false	false	2583	
49	chenjingli	200	false	false	2346	
52	chenjun	200	false	false	2293	
54	chenlei	200	false	false	2339	
56	chenliang	200	false	false	2224	
57	chenlin	200	false	false	2367	
62	chenmei	200	false	false	2305	
65	chenmin	200	false	false	2301	
66	chenming	200	false	false	2437	
69	chenping	200	false	false	2311	
70	chenqi	200	false	false	2462	
71	chenqiang	200	false	false	2246	
78	chentao	200	false	false	2424	
86	chenxia	200	false	false	2386	
88	chenxiaojuan	200	false	false	2358	
95	chenyan	200	false	false	2308	
98	chenyong	200	false	false	2321	
148	gaofeng	200	false	false	2245	
151	gaoshang	200	false	false	2493	
188	hepeng	200	false	false	2315	
204	huangjuan	200	false	false	2327	
214	huangwei	200	false	false	2216	
220	huangyong	200	false	false	2445	
247	jinyan	200	false	false	2375	
273	libing	200	false	false	2386	
280	lifang	200	false	false	2277	
282	lifeng	200	false	false	2195	
284	ligang	200	false	false	2293


3.png


http://121.199.10.19:8322/images/authorizeImg/liubin1.jpg

5.png


还有很多不一一举例了

6.png


不多说了。还有很多,其他的自测
我这是1千2百多姓名
有的有1万的。。。 可以爆破更多

7.png


结贴
2000多终端

8.png


9.png


这个签名可以伪造合同啥的。大家懂得。

10.png


4万 转账记录

11.png


12.png


3万订单信息

13.png


城里人真TM有钱。。。
7千条风险账户

14.png


挂机,篡改信息的账户都被查到了
4万条

15.png


16.png


17.png


18.png


大多都是没数据出来的,其实输入账户名就可以了
例如上面含身份证的用户名都可以看
7万订单,当然这只是冰山一角。更大的还在管理权限更高的管理员上

19.png


漏洞证明:

11

修复方案:

修改密码

版权声明:转载请注明来源 小龙@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-03-19 23:40

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无