漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0138639
漏洞标题:海尔智能APP多漏洞组合爆破用户信息间接控制用户设备
相关厂商:海尔集团
漏洞作者: 纳米翡翠
提交时间:2015-09-02 16:46
修复时间:2015-10-21 10:22
公开时间:2015-10-21 10:22
漏洞类型:用户资料大量泄漏
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-09-02: 细节已通知厂商并且等待厂商处理中
2015-09-06: 厂商已经确认,细节仅向厂商公开
2015-09-16: 细节向核心白帽子及相关领域专家公开
2015-09-26: 细节向普通白帽子公开
2015-10-06: 细节向实习白帽子公开
2015-10-21: 细节向公众公开
简要描述:
某一个炙热的夏天,你买回一个海尔智能空调,连上wifi,朋友圈各种嘚瑟,APP远程设置好温度,想着今天可以美美的睡一觉了,结果后半夜突然热醒了,一看自己家的空调竟然开着制热39度在狂吹,是空调坏了还是你的空调已经被别人控制了??
详细说明:
废话不多说了,这次主题就是爆破,爆破用户名、爆破密码
1.爆用户名
海尔的APP也真是多,一个产品一个APP
这还只是其中的几个,之所以下载这么多,目的就是看看不同APP工作原理,按照开发惯例,同一个公司的不同产品,会有很多共同点,以下是针对海尔不同APP的探索总结:
--->所有的产品共用一个用户表,同一个用户可以登录不同的APP,这一点无可厚非
--->不同的产品可以使用不同的头像,头像保存在http://203.130.41.40:80/download/resource/下面的不同的产品目录里面
--->登录接口未做防爆处理,可以无限尝试登录
在经过对海尔APP多次研究和信息收集之后,爆破开始:
1.1 收集用户ID
海尔APP登录的时候会从http://203.130.41.40:80/download/resource下载用户的头像,幸运的是该目录可以列目录
经过分析发现海尔不同的APP将用户的头像保存在不同的目录下面,并且以用户的ID为目录名:
于是乎不管三七二十一把所有目录下面的id号都收集了一下,结果收集到ID共38772条(有遗漏)
拿到ID之后,下一步就是通过ID拿到用户的用户名
经过一些探索,发现在海尔好空气app的论坛处存在id与用户名的对应关系
打开一个帖子,并抓包,可看到返回的json里面有id与loginName的对应:
点击评论,提交评论并抓包,发现评论处可以填入其它用户的ID:
这样的话我们只需要把ID更改为之前我们收集到的id列表,然后遍历用户名,丢给burpsuite
之后再访问之前的贴子,即可在评论处拿到所有遍历的用户的信息
抓包拿到该评论列表的json数据:
整理后提取用户名,如下:
2.爆破密码,拿到用户名了,爆破密码成不成功就是看字典强不强大了,这里只使用了简单的几个密码:
burpsuite抓包拿到APP登录的地址,然后丢到Intruder,导入用户名列表,接下来等,由于用户多,爆破慢所以就提前结束了
整理爆破的结果,一共969条数据
3.拿个用户登录尝试一下
即可控制该用户空调
漏洞证明:
5700多用户,爆破完成80%,弱口令字典简单的情况下竟然有969条爆破成功的数据,接近20%的成功率,我只想说不要把安全寄予到用户身上,更多的需要企业方来做好安全
修复方案:
绑定设备,增加校验
版权声明:转载请注明来源 纳米翡翠@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:16
确认时间:2015-09-06 10:21
厂商回复:
感谢乌云平台白帽子的测试与提醒,我方已安排人员进行处理
最新状态:
暂无