当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0125060

漏洞标题:饿了么逻辑漏洞之免费吃喝不是梦

相关厂商:饿了么

漏洞作者: 计算姬

提交时间:2015-07-07 10:40

修复时间:2015-07-29 16:12

公开时间:2015-07-29 16:12

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-07: 细节已通知厂商并且等待厂商处理中
2015-07-07: 厂商已经确认,细节仅向厂商公开
2015-07-17: 细节向核心白帽子及相关领域专家公开
2015-07-27: 细节向普通白帽子公开
2015-07-29: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

饿了么-中国最专业的网上订餐平台

详细说明:

自认为思路还是屌屌的,没见过类似的漏洞啊,能打雷么~
问题是在饿了么早餐的地方,饿了么早餐真心方便啊
早餐最近出了个活动,可以领10元抵用券

11.png


输入信息后,领取成功

11.png


这一步其实是收集信息,后面的一个请求才是真的申领红包抵用券的请求
测试发现,一个手机号只能领2个红包

11.png


于是就开始fuzz
1)正常情况,只能2次,无法多次获取红包

{"flag":2,"phoneNo":"18xxxxxxx33"}


{"status":"ERROR","data":null,"message":"该用户最多只能领取2次"}


2)测试是否仅对phoneNo做校验,在手机号后面加字母测试

{"flag":2,"phoneNo":"18xxxxxxx33ff"}


{"status":"SUCCESS","data":"获取成功","message":null}


是可以发送成功的,只是因为手机号错误的原因,我们收不到短信
3)那么思路就来了,只要phoneNo每次不同,绕过服务端的校验,同时,该值作为发送短信的目标又是真实可达的,就好了
也就是说,服务端直接检验phoneNo是否超过2次,同时不经过处理,就直接丢给短信发送平台进行红包短信发送(这是我猜的)
最容易想到的就是手机号前面加86了

{"flag":2,"phoneNo":"8618xxxxxxx33"}


发送成功,手机也成功收到短信,这样一个手机号就有4个红包了
4)那再测试手机号前面加+86

{"flag":2,"phoneNo":"+8618xxxxxxx33"}


手机木有收到短信,该方法无效
5)那再测试第一种手机号后面加非数字的情况

{"flag":2,"phoneNo":"18xxxxxxx33!"}


手机也木有收到短信,不过我自己手机测试,是可以发送成功的啊

11.png


如上图,自己测试,是能收到短信的,不知道平台为嘛不行
6)还是那样,只要phoneNo的值能让平台成功发送短信即可,那我又想到了使用小号
用的阿里的小号

11.png


{"flag":2,"phoneNo":"13216994045!"}


成功收到小号转发过来的短信

11.png


这样结合上面的两个成功的方法,就可以获得8个红包啦~~
阿里小号每个月可以有3次免费临时小号的使用
那么就可以获得4*(1+3)=16个红包啦~
感觉红包应该够用了啊,但是我不是为了福利,是为了安全啊,继续看看还有没有其他问题
7)那继续测,想着手机群发的时候,貌似以逗号,分隔号码,测试下

{"flag":2,"phoneNo":"18xxxxxxx33,138xxxxxxx"}


手机没有收到短信,此时在这个点也fuzz的很长时间,没有用,,就不多说了
8)后来又想到分号;作为分隔

{"flag":2,"phoneNo":"18xxxxxxx33;138xxxxxxx"}


测试发现,只有分号前面的手机号可以收到短信,不过目的已经达到了,保持分号前面手机号不变,分号后面任意内容,即可无限制获取红包抵用券的短信

漏洞证明:

总结一下
正常情况可以成功

{"flag":2,"phoneNo":"18xxxxxxx33"}


手机号前面加86可以成功

{"flag":2,"phoneNo":"8618xxxxxxx33"}


短号,小号,可以转发短信的。例如阿里小号,亲情小号等

{"flag":2,"phoneNo":"13216994045!"}


分号分隔可以成功,可无限获取红包

{"flag":2,"phoneNo":"18xxxxxxx33,138xxxxxxx"}


11.png


3天的早餐只要5毛钱,给饿了么点个赞啊

11.png

修复方案:

phoneNo的值要经过提纯再进入短信发送平台进行发送

版权声明:转载请注明来源 计算姬@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2015-07-07 11:03

厂商回复:

漏洞已经确认,感谢你对饿了么安全的关注

最新状态:

2015-07-29:漏洞已修复。谢谢你们的关注。


漏洞评价:

评论

  1. 2015-07-07 10:41 | 牛 小 帅 ( 普通白帽子 | Rank:363 漏洞数:84 | [code]心若没有栖息的地方,走到哪里都是在...)

    @xsser @浩天 帮我审核呀 谢谢 我的洞好几个都几天没审核了

  2. 2015-07-07 10:43 | GHK ( 路人 | Rank:2 漏洞数:1 | 请叫我小渣渣。)

    记者拍这里

  3. 2015-07-07 10:45 | 牛 小 帅 ( 普通白帽子 | Rank:363 漏洞数:84 | [code]心若没有栖息的地方,走到哪里都是在...)

    @GHK 您好 我是记者 ,根据你近期活跃红灯区 各大会所的动态,我们cctv讲为您展开专访

  4. 2015-07-07 11:12 | emeditor ( 路人 | Rank:2 漏洞数:1 | 过来乌云学习 求大神别黑)

    窝也要免费吃喝 (☆_☆)

  5. 2015-07-07 11:19 | 末影人 ( 实习白帽子 | Rank:35 漏洞数:9 | 末影人(Enderman)是一个三个方格高的人形生...)

    这都能闪电?

  6. 2015-07-07 11:21 | 牛 小 帅 ( 普通白帽子 | Rank:363 漏洞数:84 | [code]心若没有栖息的地方,走到哪里都是在...)

    我去 666 雷劈了

  7. 2015-07-07 11:22 | 计算姬 ( 普通白帽子 | Rank:398 漏洞数:90 | 看我看我看我啊)

    虽然闪电,这rank也太少了吧,白白浪费了一次rank翻倍的机会啊@xsser 能补咩~

  8. 2015-07-07 11:25 | 90Snake ( 普通白帽子 | Rank:109 漏洞数:42 | 最大的漏洞就是人)

    @末影人 你看见详情了?

  9. 2015-07-07 11:26 | Jim叔叔 ( 普通白帽子 | Rank:153 漏洞数:25 | 这样子不太好吧。。)

    @计算姬 估计只有等7月的洞主演义,,可以额外奖50WB。。。

  10. 2015-07-07 11:26 | JGHOOluwa ( 普通白帽子 | Rank:206 漏洞数:32 | 就是来看看大牛们如何超神的^-^)

    @90Snake 他以前能看到还信,现在那个漏洞修复了,应该看不到吧。。。

  11. 2015-07-07 11:27 | v0yager_1ce ( 路人 | Rank:2 漏洞数:1 )

    屌屌屌,麻麻以后再也不用担心没中饭吃了

  12. 2015-07-07 11:28 | 夜鸥 ( 路人 | Rank:2 漏洞数:1 | 我所知道的,和你差不多,我所感受到的,和...)

    别提交了。。这个漏洞可以吃半辈子了 哈哈。

  13. 2015-07-07 11:44 | 凯茵 ( 路人 | Rank:20 漏洞数:1 | 求组织吸纳)

    然并卵,一个手机号只能兑换两次优惠吗……

  14. 2015-07-07 12:25 | 计算姬 ( 普通白帽子 | Rank:398 漏洞数:90 | 看我看我看我啊)

    @凯茵 你可以找亲戚朋友多个手机号啊

  15. 2015-07-07 12:56 | myhalo ( 普通白帽子 | Rank:281 漏洞数:55 | 所属团队:TSafe)

    学习闪电新姿势

  16. 2015-07-09 18:55 | 90Snake ( 普通白帽子 | Rank:109 漏洞数:42 | 最大的漏洞就是人)

    @JGHOOluwa 他都没看到还在那儿bb 这都能闪电 啥的。。

  17. 2015-07-27 12:05 | 带馅儿馒头 ( 普通白帽子 | Rank:1278 漏洞数:143 | 心在,梦在)

    思路不错

  18. 2015-07-27 12:21 | s3xy ( 核心白帽子 | Rank:832 漏洞数:113 | 相濡以沫,不如相忘于江湖)

    goooooooooood

  19. 2015-07-28 23:41 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    涨姿势了

  20. 2015-07-29 16:19 | f4ckbaidu ( 普通白帽子 | Rank:182 漏洞数:23 | 开发真是日了狗了)

    很淫荡的思路

  21. 2015-07-29 16:23 | 紫衣大侠 ( 普通白帽子 | Rank:201 漏洞数:21 | 愿结天下有识之士)

    这么机智...

  22. 2015-07-29 16:34 | 不二 ( 实习白帽子 | Rank:58 漏洞数:5 | 如果遇到从前的我,请把他带回来。QQ:71017...)

    这个思路屌。

  23. 2015-07-29 16:42 | prolog ( 普通白帽子 | Rank:544 漏洞数:107 | 低调求发展)

    3 rank....

  24. 2015-07-29 16:59 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

    赞LZ

  25. 2015-07-29 17:05 | 小杨 ( 路人 | Rank:22 漏洞数:4 | 。)

    饿了

  26. 2015-07-29 17:15 | 然并卵 ( 路人 | Rank:0 漏洞数:1 | 呵呵)

    好像很多人叫我

  27. 2015-07-29 17:19 | 计算姬 ( 普通白帽子 | Rank:398 漏洞数:90 | 看我看我看我啊)

    @然并卵 然并卵

  28. 2015-07-29 18:10 | Power ( 实习白帽子 | Rank:54 漏洞数:22 | 还需要等待.........)

    这都行...

  29. 2015-07-29 18:45 | abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 我叫什么名字)

    佩服

  30. 2015-07-29 20:02 | 90Snake ( 普通白帽子 | Rank:109 漏洞数:42 | 最大的漏洞就是人)

    佩服~

  31. 2015-07-29 20:45 | 未出现的风景 ( 路人 | Rank:2 漏洞数:2 | keep moving!菜鸟求带。。。求带啊。。。啊...)

    赞~好有趣

  32. 2015-07-29 22:09 | Hex ( 路人 | Rank:18 漏洞数:9 | Do you know what is worth fighting for?)

    思路真赞

  33. 2015-07-29 22:46 | DKing ( 路人 | Rank:0 漏洞数:1 | 盲人摸象中)

    3 RANK........还是搁家里吃一年吧

  34. 2015-07-30 13:54 | 斯杰 ( 路人 | Rank:10 漏洞数:5 | By:S丶jer)

    楼上+1

  35. 2015-08-03 12:40 | 三浪兄 ( 路人 | Rank:20 漏洞数:6 | I am a singer-songwriter.)

    吊吊的

  36. 2015-08-03 15:27 | pomelo ( 路人 | Rank:8 漏洞数:2 | 新手白帽子,好好学习,好好挖洞!)

    3个rank,太不值钱了

  37. 2015-08-10 17:11 | 路人毛 ( 路人 | Rank:23 漏洞数:10 | 昨晚做梦,挖到了电信都漏洞,被电信起诉了...)

    打雷的3RANK。。。厂商对他免费吃喝提出了严重抗议

  38. 2015-08-12 21:18 | c4bbage ( 路人 | Rank:15 漏洞数:7 | var_dump($me);)

  39. 2015-08-25 15:10 | 蓝雪 ( 路人 | Rank:15 漏洞数:5 | 爱研究技术,爱结交技术大牛的杭州妹子)

    之前在饿了么付4元买30元东西的事干过些,早知道也来乌云提交了

  40. 2015-08-25 15:30 | JGHOOluwa ( 普通白帽子 | Rank:206 漏洞数:32 | 就是来看看大牛们如何超神的^-^)

    @蓝雪 哇妹纸,尼这阔以当作证据告你啊,注意注意~~

  41. 2015-08-25 17:02 | 计算姬 ( 普通白帽子 | Rank:398 漏洞数:90 | 看我看我看我啊)

    @蓝雪 哇妹纸,尼这阔以当作证据告你啊,注意注意~~

  42. 2015-08-26 09:06 | 蓝雪 ( 路人 | Rank:15 漏洞数:5 | 爱研究技术,爱结交技术大牛的杭州妹子)

    @JGHOOluwa 好可怕( ⊙ o ⊙ )!

  43. 2015-08-26 09:06 | 蓝雪 ( 路人 | Rank:15 漏洞数:5 | 爱研究技术,爱结交技术大牛的杭州妹子)

    @计算姬 好可怕( ⊙ o ⊙ )!

  44. 2015-08-26 09:37 | 计算姬 ( 普通白帽子 | Rank:398 漏洞数:90 | 看我看我看我啊)

    @蓝雪 妹子表怕~

  45. 2015-08-27 17:18 | 月小对 ( 普通白帽子 | Rank:142 漏洞数:23 | 打着篮球唱着歌)

    @计算姬 再调戏妹子,我就告诉静静

  46. 2015-08-27 17:25 | JGHOOluwa ( 普通白帽子 | Rank:206 漏洞数:32 | 就是来看看大牛们如何超神的^-^)

    @计算姬 再调戏妹子,我就调戏静静