当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-083322

漏洞标题:轻松实现新开普一卡通免费消费且系统无纪录

相关厂商:新开普电子股份有限公司

漏洞作者: 绝对领域

提交时间:2014-11-14 22:42

修复时间:2015-02-12 22:42

公开时间:2015-02-12 22:42

漏洞类型:设计不当

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-11-14: 细节已通知厂商并且等待厂商处理中
2014-11-19: 厂商已经确认,细节仅向厂商公开
2014-11-22: 细节向第三方安全合作伙伴开放
2015-01-13: 细节向核心白帽子及相关领域专家公开
2015-01-23: 细节向普通白帽子公开
2015-02-02: 细节向实习白帽子公开
2015-02-12: 细节向公众公开

简要描述:

新开普一卡通1、可以暴力破解复制,2、可以通过简易途径实现近乎免费的消费且系统仅存在一次消费记录,3、复制的卡可以正常消费,出现灰色记录没有进行黑名单锁卡,4、系统平台软件等没有告警提示,目测影响全国新开普全部使用M1卡的一卡通系统,涉及到钱的问题都不是小事,单位后勤领导会灭了你们的。。。你们要赔钱啊。。。。。

详细说明:

蛋疼了看了某乌云er写的一片文章于是深挖了一下
1>使用到的工具:ACR122U读卡器,M1卡爆破软件(以上东西某购物网站百把块一套)
2>安装使用过程不在叙述,暴力破解复制自己一卡通(本人把自己一卡通复制了两张)

RFID1.png


上图为破解卡过程

RFID2.png


上图为复制过程(保密起见以上图片已经用普通卡片替换)
以上过程过于傻瓜不再熬述
3>这里就出现了第一个问题,号称一卡一密一区一密的卡只用了不到半天就复制成功了。。。。
4>用自己的一卡通在pos机上消费任意金额,然后用复制的一卡通在同一台pos机,同一天消费同样的金额,新开普数据库中仅存在一条消费记录,但是实际上消费了3倍的金额,复制的卡越多消费次数越多,销售方损失越大。
5>以上方法消费后系统中无消费灰色记录
6>卡上钱用完了去充值,然后循环以上过程。。。呵呵

漏洞证明:

一卡通平台消费记录查询

cap2.png


蓝色框内圈出的纪录只有一次,实际消费了3次
一卡通平台pos机收费记录

cap3.png


蓝色框内圈出的记录只有一次。
一卡通系统消费库纪录和灰色记录

cap1.png


第一个表为本人卡消费记录,蓝色框就是用原始卡和复制卡两张各消费一次(合计三次)的纪录。。。只记录了一张一次消费的纪录,第二张是灰色记录,在对应时段没有对应金额的灰色记录,相当于免费消费了2次.

修复方案:

换卡,禁止pos离线消费,服务端验证卡消费次数和金额是否异常,异常时把卡列入黑名单

版权声明:转载请注明来源 绝对领域@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:17

确认时间:2014-11-19 11:04

厂商回复:

最新状态:

暂无


漏洞评价:

评论

  1. 2014-11-14 23:43 | 绝对领域 ( 路人 | Rank:27 漏洞数:3 | 大穴码农网管)

    审核的好快—,—!

  2. 2014-11-14 23:52 | erevus ( 普通白帽子 | Rank:177 漏洞数:31 | Hacked by @ringzero 我錯了)

    影响范围很大的样子@xsser

  3. 2014-11-14 23:57 | 几何黑店 ( 核心白帽子 | Rank:1527 漏洞数:231 | 我要低调点儿.......)

    记者同志,我在这里,看这里,对,请把话筒对准我

  4. 2014-11-14 23:58 | 暧昧 ( 路人 | Rank:6 漏洞数:3 | 此号乃是吾用来装孙子也)

    记者同志,我在这里,看这里,对,请把话筒对准我

  5. 2014-11-15 05:54 | 男神 ( 路人 | Rank:0 漏洞数:1 | 不想做男神的演员不是好黑客)

    前排,镜头快对准这里

  6. 2014-11-15 07:07 | 菊花卫士 ( 路人 | Rank:10 漏洞数:1 | 网站卫士是360旗下为网站提供有偿主动保护...)

    我是来抢镜的。

  7. 2014-11-15 09:40 | 0749orz ( 路人 | Rank:3 漏洞数:4 | 厌了,烦了~~~)

    记者同志,我在这里,看这里,对,请把话筒对准我

  8. 2014-11-15 10:09 | Paladin1412 ( 实习白帽子 | Rank:34 漏洞数:17 | 登上九重宝塔,君临天下。。。)

    赞一个,之前用NFC读新开普的饭卡,默认密码不管用,洞主你是怎么做到的

  9. 2014-11-15 11:45 | s3xy ( 核心白帽子 | Rank:832 漏洞数:113 | 相濡以沫,不如相忘于江湖)

    mark

  10. 2014-11-15 12:25 | dangge ( 路人 | Rank:1 漏洞数:1 | 菜鸟一枚 努力学习中。)

    ZZU强势围观

  11. 2014-11-15 12:33 | 绝对领域 ( 路人 | Rank:27 漏洞数:3 | 大穴码农网管)

    @Paladin1412 爆破

  12. 2014-11-15 23:19 | 78基佬 ( 实习白帽子 | Rank:84 漏洞数:20 | 不会日站的设计师不是好产品经理)

    记者朋友 我在吃屎 快拍我

  13. 2014-11-16 23:29 | xsser ( 路人 | Rank:5 漏洞数:1 | 顺流而下,把梦做完|最近小忙,有问题可以...)

    @erevus 为何艾特我?

  14. 2014-11-17 11:09 | erevus ( 普通白帽子 | Rank:177 漏洞数:31 | Hacked by @ringzero 我錯了)

    @xsser 求打雷啊

  15. 2014-11-19 16:53 | Gowabby ( 路人 | Rank:6 漏洞数:3 | SB一个,求大神带,求大神指导,求大神丢肥...)

    我是来围观的,我早说过可以复制的,不过不知道后台没确认

  16. 2014-12-05 09:44 | 绝对领域 ( 路人 | Rank:27 漏洞数:3 | 大穴码农网管)

    厂商反应还是比较快的,目前我们这里已经补了洞。。。但是不确定国内其它高校是否也同步处理了,影响的高从南到北,从东到西。。。好多

  17. 2014-12-23 12:46 | 绝对领域 ( 路人 | Rank:27 漏洞数:3 | 大穴码农网管)

    @疯狗 @xsser 这个洞木有奖励么-,-!

  18. 2015-02-13 09:35 | 动后河 ( 实习白帽子 | Rank:51 漏洞数:13 | ☭)

    看截图, 洞主已经悄悄把数据库拿下了吧

  19. 2015-02-13 09:41 | noob ( 实习白帽子 | Rank:81 漏洞数:18 | 向各位大神学习,向各位大神致敬)

    洞主是先把后台拿下,再实验...屌

  20. 2015-02-14 23:57 | 黑白相间的帽子 ( 路人 | Rank:21 漏洞数:2 | 哎呀,没啥介绍的啦)

    通过我的透视眼,洞主打码的几张表分别是,Base_Customers,REC_CUST_ACC,字段嘛就是什么CustomerID啦,OUTID啦,opfare啦,opcount啦,optime啦