当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0149911

漏洞标题:线下测试最终进入小米关键系统(泄露小米售后资料/客户收获地址/联系电话/手机物料清单等)

相关厂商:小米科技

漏洞作者: 90Snake

提交时间:2015-10-27 19:20

修复时间:2015-12-12 16:58

公开时间:2015-12-12 16:58

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-27: 细节已通知厂商并且等待厂商处理中
2015-10-28: 厂商已经确认,细节仅向厂商公开
2015-11-07: 细节向核心白帽子及相关领域专家公开
2015-11-17: 细节向普通白帽子公开
2015-11-27: 细节向实习白帽子公开
2015-12-12: 细节向公众公开

简要描述:

破解了wifi就一路深入进来了,安全部门估计看到要头疼。不是故意的。
泄露小米的全部售后资料/客户收获地址/联系电话/手机物料清单/包括是否中奖/调货/发货 /BOM等。

详细说明:

0x001 走向售后部
同事就跟我说他买的小米note坏了
我就二话没说跟她去修手机了
当我们来到了小米的授权中心时候居然没有wifi(差评)
修的过程比较漫长,无聊就用万能wifi破解了。手机root,连接了wifi
用一个文件管理的进去手机目录:
data→misc→wifi→wpa_supplicant.conf
打开就能看到连接的wifi密码以及wifi信号名称
效果如下

QQ图片20151027174756.jpg


0x002 中间人攻击
好了,wifi密码到手,我分享密码给小伙伴后,我并没有第一时间去上网。我是一个爱装逼又无聊的骚年,没错我就打开nmap...进行内网扫描..
反馈如下: 6台xp 1台苹果 4台安卓 一台打印机HP的 网关192.168.1.1
看到这些信息我就基本确定是小米店的网络了,如果是附近家庭的不可能这么多电脑,还加一台打印机
我就觉得,反正闲着也是闲着,开kali ARP 他们! 为什么我会这么做呢,也许是因为真的等的无聊把。。
打开kali Arpspoof 略过过程,整理成果,

URL: http://xms.be.xiaomi.com/common/common!ajaxBrandJson.action?checkedId=1&
Date: Mon Oct 26 10:39:02 格林尼治标准时间+0800 2015
Method: POST
Auth: null
Cookie: uLocale=zh_CN; userName=601016173; userId=601016173; cUserId=KZ3uBAhxkr1cR8lVgf_QwgmW8hE; serviceToken=mJfHhKM/LNCjTwJ9Awa8/20nWLElFwlMXZH1mFhs3a7KJ0zL2Hkvq76tFQOmoF3oz4pl6F+yrRVcb4hMaCCMfNMZJGFzAsYBFUituqwmFQg=; xmsbe_slh=RVH4nMqZuMJ1t3woabdwSezQn3c=; JSESSIONID=aaat0Io3ONxwm815zXHcv
User Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.0
Mime Type: text/plain; charset=UTF-8
Headers:
cookie : uLocale=zh_CN; userName=601016173; userId=601016173; cUserId=KZ3uBAhxkr1cR8lVgf_QwgmW8hE; serviceToken=mJfHhKM/LNCjTwJ9Awa8/20nWLElFwlMXZH1mFhs3a7KJ0zL2Hkvq76tFQOmoF3oz4pl6F+yrRVcb4hMaCCMfNMZJGFzAsYBFUituqwmFQg=; xmsbe_slh=RVH4nMqZuMJ1t3woabdwSezQn3c=; JSESSIONID=aaat0Io3ONxwm815zXHcv
content-type : application/x-www-form-urlencoded; charset=UTF-8
connection : keep-alive
accept-language : zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
host : xms.be.xiaomi.com
content-length : 0
accept : text/plain, */*; q=0.01
user-agent : Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.0
referer : http://xms.be.xiaomi.com/xmrepair/xmrepair!receiveAndApply.action
x-requested-with : XMLHttpRequest
pragma : no-cache
Form params:
checkedId : 1


其中的弯路略过吧...发现xiaomi.com域名,觉得有点奇怪...
0x003 初入售后系统

3.png


ps:进来的方法是劫持他流量经过我电脑,我电脑再转发过网关
0x004 并不满足于现状
虽然进去了小米的售后系统,但是貌似有分权限之类的。系统还有许多的权限这个用户是选不到的,还有更高级的人在审核这个帐号的申请。
还等什么,当然往着更高的权限去。
如下图↓:

4.png


xss,放什么地方呢? 我放去了需要高级人员审核的地方
如下↓ 发现这有点明显 ">让他收进去

5.png


">让他收进去

QQ截图20151026143030.png


0x006 大鱼上钩
时间其实已经来到第二天。 当我搬完砖回到桥底。
发现邮箱被刷屏了~。。。....满满的xss信息提示我邮箱,打开一看,全部都是cookie....
根据我耐心的登录....
如下图↓

10.png


终于满足我的心愿了,可以打开售后系统的全部功能了~
居然连BOM都可以查出来,小米手机有多少螺丝我都知道了。。。。如下↓

2 (1).png


咳咳,其中的客户信息,电话,之类的不一一列出....
复现的话比较难,我不知道我写清楚没。如果需要补充,让疯狗联系我就行了,之前沟通过。可以找我拿cookie,进去看看后台就知道了。

漏洞证明:

已经删了一些cookie,但是不碍事,时常有cookie发来

15.png


QQ图片20151027184734.png

修复方案:

这是个人看了就头疼,我不知道怎么修复了。

版权声明:转载请注明来源 90Snake@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-10-28 16:57

厂商回复:

感谢提交!辛苦了:)

最新状态:

暂无

漏洞评价:

评论

  1. 2015-10-27 19:34 | 90Snake ( 普通白帽子 | Rank:124 漏洞数:43 | 最大的漏洞就是人,SSS论坛,各种神思路。)

    给小庙打个广告,各种神操作神思路神故事bbs.sssie.com

  2. 2015-10-27 20:22 | Child ( 实习白帽子 | Rank:35 漏洞数:16 | 我进乌云干啥来了.啥也不会.就只能看大牛)

    给小庙打个广告,各种神操作神思路神故事 bbs.sssie.com

  3. 2015-10-27 20:24 | Azox佐熙 ( 路人 | Rank:1 漏洞数:1 | 我就混个脸熟)

    给小庙打个广告www.hi-ourlife.com为大众普及网络安全知识。另外米斯特招收大牛哦

  4. 2015-10-27 20:29 | 珈蓝夜宇 ( 普通白帽子 | Rank:205 漏洞数:32 | 人不彻底绝望一次,就不会懂得什么是自己最...)

    给小庙打个广告,各种神操作神思路神故事www.wooyun.orgdrops.wooyun.orgwiki.wooyun.orgce.wooyun.orgen.wooyun.orgzone.wooyun.org

  5. 2015-10-27 21:00 | 终于明白 ( 路人 | Rank:30 漏洞数:8 | 来看看。。)

    给小庙打个广告,各种神操作神思路神故事 bbs.sssie.com给小庙打个广告,各种神操作神思路神故事 bbs.sssie.com

  6. 2015-10-27 21:24 | 随风的风 ( 普通白帽子 | Rank:176 漏洞数:57 | 微信公众号:233sec 不定期分享各种漏洞思...)

    哈哈,笑尿了

  7. 2015-10-28 11:48 | 浅蓝 ( 普通白帽子 | Rank:279 漏洞数:110 | 爱安全:www.ixsec.orgXsec社区:zone.ixse...)

    666

  8. 2015-10-28 14:59 | 孤梦° ( 实习白帽子 | Rank:37 漏洞数:10 | 退出娱乐圈,安全圈,技术圈,努力创业赚钱in...)

    给小庙打个广告,各种神操作神思路神故事 bbs.sssie.com 来自撕内裤牌乌云iPhone8s手机评论

  9. 2015-10-28 17:02 | DNS ( 普通白帽子 | Rank:543 漏洞数:61 | 没有我,你们就去背IP吧)

    给小庙打个广告,各种神操作神思路神故事 www.wooyun.org 来自撕内裤牌乌云iPhone8s手机评论

  10. 2015-10-28 17:13 | 90Snake ( 普通白帽子 | Rank:124 漏洞数:43 | 最大的漏洞就是人,SSS论坛,各种神思路。)

    @DNS @孤梦° @浅蓝 不是我针对谁,我是说在座各位,都是辣鸡

  11. 2015-10-28 17:25 | DNS ( 普通白帽子 | Rank:543 漏洞数:61 | 没有我,你们就去背IP吧)

    @90Snake 不雅这样子哦,

  12. 2015-10-28 17:34 | 90Snake ( 普通白帽子 | Rank:124 漏洞数:43 | 最大的漏洞就是人,SSS论坛,各种神思路。)

    @DNS (坏笑)bbs.sssie.com欢迎你

  13. 2015-10-28 17:35 | DNS ( 普通白帽子 | Rank:543 漏洞数:61 | 没有我,你们就去背IP吧)

    @90Snake 给我管理员吗(0.0),有妹子吗

  14. 2015-10-28 18:52 | 孤梦° ( 实习白帽子 | Rank:37 漏洞数:10 | 退出娱乐圈,安全圈,技术圈,努力创业赚钱in...)

    @90Snake 日你妈波 你也是在做的其中一位 哈哈

  15. 2015-10-28 18:55 | 金馆长 ( 路人 | Rank:4 漏洞数:2 | Up)

    伪前

  16. 2015-10-28 19:19 | Azox佐熙 ( 路人 | Rank:1 漏洞数:1 | 我就混个脸熟)

    你没看到本宝宝@90Snake

  17. 2015-10-29 08:11 | king7 ( 普通白帽子 | Rank:634 漏洞数:125 | 收WB~~1:7手续费协商,个位数到三位数量都...)

    @90Snake 大兄弟,你这庙,要进门还挺麻烦啊

  18. 2015-10-29 08:23 | 90Snake ( 普通白帽子 | Rank:124 漏洞数:43 | 最大的漏洞就是人,SSS论坛,各种神思路。)

    @king7 还行吧。。论坛帖子质量不行吗?

  19. 2015-10-29 08:46 | king7 ( 普通白帽子 | Rank:634 漏洞数:125 | 收WB~~1:7手续费协商,个位数到三位数量都...)

    @90Snake 就看了下邀请码,就感觉有质量

  20. 2015-10-29 09:50 | 90Snake ( 普通白帽子 | Rank:124 漏洞数:43 | 最大的漏洞就是人,SSS论坛,各种神思路。)

    @king7 那必须的!!

  21. 2015-11-01 22:27 | X5st ( 路人 | Rank:28 漏洞数:7 | 合伙搞世界)

    给小庙打个广告,各种神操作神思路神故事 bbs.sssie.com

  22. 2015-11-10 09:47 | tSt ( 路人 | Rank:27 漏洞数:7 | 在开发里运维最强,运维里网络最强,网络里...)

    还没公开这就有了?http://www.secpulse.com/archives/40383.html

  23. 2015-11-10 21:31 | Can ( 路人 | Rank:17 漏洞数:3 | 个人博客www.webst.cc)

    @tSt 95发到论坛了http://bbs.sssie.com/thread-714-1-1.html看日期

  24. 2015-11-17 18:07 | Me_Fortune ( 普通白帽子 | Rank:247 漏洞数:86 | The quiter you are,the more you're able ...)

    神思路啊 - -

  25. 2015-12-12 17:08 | Pzacker ( 路人 | Rank:14 漏洞数:5 | 请用你知道的去帮助别人,就像别人当初帮助...)

    一个神奇的故事