当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0148005

漏洞标题:金山逍遥手机令牌可绑定任意(当前未绑定令牌的账号)

相关厂商:金山逍遥

漏洞作者: Nohat

提交时间:2015-10-20 18:12

修复时间:2016-01-18 19:20

公开时间:2016-01-18 19:20

漏洞类型:设计错误/逻辑缺陷

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-20: 细节已通知厂商并且等待厂商处理中
2015-10-20: 厂商已经确认,细节仅向厂商公开
2015-10-23: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2015-12-14: 细节向核心白帽子及相关领域专家公开
2015-12-24: 细节向普通白帽子公开
2016-01-03: 细节向实习白帽子公开
2016-01-18: 细节向公众公开

简要描述:

表妹玩剑侠情缘3,我当然不能落伍,虽然人还在新手村...但是我的心中,一直有一颗剑的心,闲话少说:
金山逍遥手机令牌可绑定任意【当前未绑定令牌的账号】,无需验证账号绑定的手机,甚至没绑定手机的账号也可绑定手机令牌。
危害:对于未绑定手机令牌的游戏账号,当前所有防盗号机制失效:
1、异地登录限制失效(绑定手机令牌后异地登录限制自动取消)
2、游戏内普通密码锁定机制失效(手机令牌级别高于普通密码级别,绑定手机令牌后会替换普通密码锁定机制)

详细说明:

1、安装金山剑侠情缘3专属版手机令牌后,会在手机data目录下生成一个目录:

com.kingsoft.android.cat


用于存放软件生成的一些数据和配置文件等。

手机令牌数据文件夹.png


2、首次生成令牌序列号,并绑定成功账号后,会在

com.kingsoft.android.cat

目录下生成

shared_prefs

目录,保存有用户绑定账号的相关信息:

手机令牌数据文件夹包含.png


3、把

shared_prefs

目录下配置文件中涉及到账号的地方全部修改为目标账号(想要绑定手机令牌的账号):

配置文件修改.png


4、进入手机令牌的账号管理界面,发现已经修改成功,说明并没有什么验证机制:

修改后进入令牌账号管理.png


此时账号还是全新未绑定状态:

全新未绑定状态.png


点击绑定,提示绑定成功:

绑定成功.png


至此,未授权的绑定就成功了,可以进入游戏通过手机令牌动态密码对游戏进行交易、转账等敏感操作了。

漏洞证明:

1、首先找到一个未绑定手机令牌,但有多重防盗机制的账号(手机绑定、异地登录限制、游戏内密码锁):

首先找一个未绑定手机令牌的账号.png


2、通过上面的方法绑定后再登录,发现只有手机令牌保护了:

成功绑定手机令牌.png


3、输入手机令牌动态码解锁:

使用动态密码解锁.png


至此,游戏的多重防盗号机制全都失效了,账号想怎么操作就怎么操作。
呼,终于说完了,做起来很简单,要说清楚真不容易。不知道金山和乌云蜀黍有没有耐心来验证,难道乌云蜀黍会为了验证这个漏洞去玩剑网3?---画面太美。
但是至少不要忽略5555。

修复方案:

就是验证机制的问题,
首先WEB端绑定手机令牌是需要通过账号绑定的手机进行短信验证的,但是手机令牌APP可以绕过这个验证,
其次用户篡改配置文件中的账号后,未进行验证,直接可以绑定账号。
好吧,只能装到这儿了,令牌动态密保这么复杂的逻辑岂是我能理解的,金山蜀黍一定能解决的。
我已经离开新手村,到达广都镇了,开启剑心之旅:

2015-10-20_00-45-22-000.png

版权声明:转载请注明来源 Nohat@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-10-20 19:12

厂商回复:

感谢提交,我们将反馈给业务进行跟进与修改

最新状态:

暂无


漏洞评价:

评价