当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0171116

漏洞标题:中国移动某客户端无需密码可看任意人的资料和余额和套餐和姓名

相关厂商:中国移动

漏洞作者: 爱捣蛋的鬼

提交时间:2016-01-19 16:30

修复时间:2016-03-05 09:52

公开时间:2016-03-05 09:52

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-19: 细节已通知厂商并且等待厂商处理中
2016-01-22: 厂商已经确认,细节仅向厂商公开
2016-02-01: 细节向核心白帽子及相关领域专家公开
2016-02-11: 细节向普通白帽子公开
2016-02-21: 细节向实习白帽子公开
2016-03-05: 细节向公众公开

简要描述:

由于我的苹果碎了,换了个android的,然后升了4G,然后就下了客户端。。。然后就。。。
求打雷

详细说明:

下载移动营业厅的APP后, 我尼玛发现居然不要密码,就能登陆看到我的余额,套餐,账单。。
我感到了好奇,果然加代理,抓请求
发现每次请求会带这个参数

EB71BD96-B145-468D-8CBA-82CBB7BD8D30.png


那么这个参数是怎么来的
经过多次发现,只有首次安装了该app才会发请求,见下图

C7822D44-6038-47AC-B9B5-A3609C3B80AB.png


好吧,就是要构造左边的参数,肯定是加密了,那是什么加密呢。。

B8EE203E-2598-4500-AA3D-0CB24857E66A.png


左思右想,一般要穿加密的到后台都会base64一下,这个居然没有,此时必有蹊跷,
直接看HEX, 发现一个点, 就是 “1F8B”,这是GZIP头标识,来试试解压
那么问题来了, burp怎么导出数据让我解压呢, 我是直接右键,然后saveItems,然后base64打钩就可以了,拿到了样本


下面这个是解压代码


解压出来的数据(请原谅我传不了,想死了。。)

auth=yes&appKey=11100&cstamp=null&sign=D1D7943D338B7BA2481F541876769012&internet=wifi&sys_version=5.0.2&screen=1080×1794&model=PLK-TL00&imsi=&imei=&longitude=&latitude=&deviceid=BC71BCAF7930178921193F9ACE22F0D1&jsonParam=[{"dynamicURI":"/simLogin","dynamicParameter":{"method":"queryUserInfo"},"dynamicDataNodeName":"shortNum_Node"}]&md5sign=9E6680672CA39A9BC7E1C9A1EDAAFED3


注意注意,高能来了,高能来了
那个参数imsi就是漏洞点,可以遍历的。。而且看似有md5sign和sign但是尼玛没用
然后我写一个脚本来遍历数据, 见证明吧

漏洞证明:

5A50D9C0-7FB1-49EC-B1B6-9FC3CED9862B.jpg

修复方案:

想不到好的方法规避

版权声明:转载请注明来源 爱捣蛋的鬼@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2016-01-22 11:08

厂商回复:

CNVD确认所述情况,已经转由CNCERT向中国移动集团公司通报,由其后续协调网站管理部门处置.

最新状态:

暂无

漏洞评价:

评价

  1. 2016-01-19 16:37 | 我的邻居王婆婆 ( 普通白帽子 | Rank:2991 漏洞数:508 | 刚发现个好洞网站就挂了)

    任意人

  2. 2016-01-19 16:37 | Mieless ( 实习白帽子 | Rank:35 漏洞数:10 | 我是来打酱油的。)

    今天。。

  3. 2016-01-19 16:45 | 大饭刚 ( 实习白帽子 | Rank:82 漏洞数:17 | 吃饭,喝酒,挖洞洞)

    mark

  4. 2016-01-19 16:49 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    今天。。

  5. 2016-01-19 16:53 | scanf ( 核心白帽子 | Rank:1423 漏洞数:203 | 。)

    额 4g那个吗?

  6. 2016-01-19 16:58 | 小川 认证白帽子 ( 核心白帽子 | Rank:1561 漏洞数:234 | 一个致力要将乌云变成搞笑论坛的男人)

    这个漏洞成本可够高的

  7. 2016-01-19 17:06 | 爱捣蛋的鬼 ( 实习白帽子 | Rank:41 漏洞数:6 | 爱捣蛋的鬼)

    求私信乌云群啊,来了好久还没进入到组织里面

  8. 2016-01-19 17:10 | j14n ( 普通白帽子 | Rank:711 漏洞数:135 )

    @爱捣蛋的鬼 qun.wooyun.org

  9. 2016-01-19 17:22 | 无名 ( 实习白帽子 | Rank:41 漏洞数:9 | 我是一只小菜鸟呀,伊雅伊尔哟。)

    - -

  10. 2016-01-19 19:22 | 随风的风 ( 普通白帽子 | Rank:217 漏洞数:78 | 微信公众号:233sec 不定期分享各种漏洞思...)

    路过

  11. 2016-01-19 19:29 | 404notfound ( 普通白帽子 | Rank:259 漏洞数:71 | 考研中,有事请留言)

    前排卖瓜子

  12. 2016-01-19 20:29 | Q1NG ( 普通白帽子 | Rank:111 漏洞数:21 | 临 兵 斗 者 皆 阵 列 前 行 !)

    前排瓜子水果,CCTV看这里 ^-^

  13. 2016-01-19 21:26 | Hacker 麒神 ( 路人 | Rank:0 漏洞数:1 | 人生如棋,谁见我后退一步?)

    路过

  14. 2016-01-19 21:44 | 雷锋 ( 路人 | Rank:12 漏洞数:2 | 承接:钻井,架工,木工,电工,水暖工,力...)

    移动不是早就被乌云开除党籍了么。挖到移动的直接卖给hacker叔叔就行了

  15. 2016-01-19 23:58 | lang ( 路人 | Rank:2 漏洞数:1 | 关注网络安全。)

    求私信乌云群啊,来了好久还没进入到组织里面

  16. 2016-01-23 02:17 | Winck ( 路人 | Rank:12 漏洞数:3 | 华人安全网 www.systemsec.cn 719811394)

    求私信乌云群啊,来了好久还没进入到组织里面

  17. 2016-02-01 12:15 | 小川 认证白帽子 ( 核心白帽子 | Rank:1561 漏洞数:234 | 一个致力要将乌云变成搞笑论坛的男人)

    诶呀呀,又学会一招,洞主好机智

  18. 2016-02-13 13:25 | 高小厨 认证白帽子 ( 普通白帽子 | Rank:904 漏洞数:82 | 不会吹牛的小二不是好厨子!)

    好机智