APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

  • A+
所属分类:乌云漏洞
摘要

2016-03-14: 细节已通知厂商并且等待厂商处理中
2016-03-14: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-03-19: 厂商已经主动忽略漏洞,细节向公众公开

漏洞概要 关注数(21) 关注此漏洞

缺陷编号: WooYun-2016-184751

漏洞标题: APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

相关厂商: tddpay.com

漏洞作者: 小龙

提交时间: 2016-03-14 23:36

公开时间: 2016-03-19 23:40

漏洞类型: 未授权访问/权限绕过

危害等级: 高

自评Rank: 20

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 敏感接口未加权限认证 用户敏感信息泄露 平行权限

2人收藏 收藏

分享漏洞:

APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)


漏洞详情

披露状态:

2016-03-14: 细节已通知厂商并且等待厂商处理中
2016-03-14: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-03-19: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

三维度,秉承“互联网生活+”理念,以游戏社交、全球购物、移动金融为核心,打造将互联网和生活紧密融合的生活应用型APP。[1] “互联网生活+”,即融合互联网与生活,打造互联网+购物、互联网+游戏、互联网+社交三位一体的互联网生活平台。在“三维度”APP中,用户可以便捷地全球购物,并通过游戏社交的方式获得各种惊喜并结交朋友。[2]

详细说明:

code 区域
客户端盲打

得到

toplocation : https://112.124.8.165:5887/orders/orders_list.jsp#
cookie : username=tdd152; AgentID=1006; DeviceID=8106

看到 usernam=tdd152

不难想象

192 191 302 false false 223

299 298 302 false false 223

329 328 302 false false 223

343 342 302 false false 223

362 361 302 false false 223

369 368 302 false false 223

375 374 302 false false 223

384 383 302 false false 223

TT三位数字,爆破一下,密码123456的 返回233即可进入

映入我眼帘的是

APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

发现他post请求是把用户名带入进去而已

爆破下看看

APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

神逻辑。身份证打码了。图片能看到。

code 区域
request payload status error timeout length comment
1 18682130587e 200 false false 2216
11 caojing 200 false false 2393
19 chenbin 200 false false 2583
49 chenjingli 200 false false 2346
52 chenjun 200 false false 2293
54 chenlei 200 false false 2339
56 chenliang 200 false false 2224
57 chenlin 200 false false 2367
62 chenmei 200 false false 2305
65 chenmin 200 false false 2301
66 chenming 200 false false 2437
69 chenping 200 false false 2311
70 chenqi 200 false false 2462
71 chenqiang 200 false false 2246
78 chentao 200 false false 2424
86 chenxia 200 false false 2386
88 chenxiaojuan 200 false false 2358
95 chenyan 200 false false 2308
98 chenyong 200 false false 2321
148 gaofeng 200 false false 2245
151 gaoshang 200 false false 2493
188 hepeng 200 false false 2315
204 huangjuan 200 false false 2327
214 huangwei 200 false false 2216
220 huangyong 200 false false 2445
247 jinyan 200 false false 2375
273 libing 200 false false 2386
280 lifang 200 false false 2277
282 lifeng 200 false false 2195
284 ligang 200 false false 2293

APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

http://121.199.10.19:8322/images/authorizeImg/liubin1.jpg

APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

还有很多不一一举例了

APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

不多说了。还有很多,其他的自测

我这是1千2百多姓名

有的有1万的。。。 可以爆破更多

APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

结贴

2000多终端

APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

这个签名可以伪造合同啥的。大家懂得。

APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

4万 转账记录

APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

3万订单信息

APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

城里人真TM有钱。。。

7千条风险账户

APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

挂机,篡改信息的账户都被查到了

4万条

APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

大多都是没数据出来的,其实输入账户名就可以了

例如上面含身份证的用户名都可以看

7万订单,当然这只是冰山一角。更大的还在管理权限更高的管理员上

APP安全之三维度从一个毫无用处的xss到获取大量身份证信息图片(包括李刚身份证)

漏洞证明:

11

修复方案:

修改密码

版权声明:转载请注明来源 小龙@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-03-19 23:40

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

2016-03-21:您好,我们会紧急处理及严格要求,避免犯类似的低级错误


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分


评价

  1. 2016-03-15 09:31 | 大师兄 ( 实习白帽子 | 还没有发布任何漏洞 | 每日必关注乌云)

    1

    哪个李刚啊?

  2. 2016-03-20 00:25 | Code Life ( 普通白帽子 | Rank:202 漏洞数:15 | Code Life,Join It!)

    1

    我爸是李刚

  3. 2016-03-20 09:58 | CCkerber ( 路人 | Rank:26 漏洞数:13 | 没有安全的系统,没有逻辑的逻辑。)

    1

    神特么标题党

  4. 2016-03-20 09:59 | ian ( 普通白帽子 | Rank:180 漏洞数:65 | 潜心学习)

    2

    洞主发我父亲的名字干啥

  5. 2016-03-21 12:45 | 小龙 ( 普通白帽子 | Rank:2794 漏洞数:546 | 我就问,还有谁!!!!!!!!!!!!!...)

    2

    @深圳市三维度科技有限公司 漏洞都忽略了,不开心,我只想严肃的问句有礼物吗:)

  6. 2016-03-23 11:51 | 风的传奇 ( 路人 | Rank:1 漏洞数:2 | 没有什么了不起,混迹于茫茫网络而已。)

    1

    默默修复了

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin