当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-057768

漏洞标题:中国电信某活动 5角钱刷走200M+流量或30+话费

相关厂商:k189.cn

漏洞作者: 深夜大冒险

提交时间:2014-05-02 16:18

修复时间:2014-06-16 16:18

公开时间:2014-06-16 16:18

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-05-02: 细节已通知厂商并且等待厂商处理中
2014-05-07: 厂商已经确认,细节仅向厂商公开
2014-05-17: 细节向核心白帽子及相关领域专家公开
2014-05-27: 细节向普通白帽子公开
2014-06-06: 细节向实习白帽子公开
2014-06-16: 细节向公众公开

简要描述:

详细说明简单地表达我的思路,可以忽略。
漏洞证明详细地说明如何实现,欢迎围观。
漏洞修复弱弱地说说一些建议,希望改进。
暑假有空我会写个电信刷流量话费总结贴。

详细说明:

大思路:有活动就有漏洞。
思路1:重复订不同流量包来拿下所有奖励(上次的刷话费漏洞就是这样,显然这里已经改进了)
思路2:流量包本月订来本月换,拿低价换高价奖励。
思路3:先其他渠道订包装土豪欺骗系统,躲过检测恶意订包。
思路4:用电信初月订包按天折算规则,降低攻击成本。

漏洞证明:

http://3g.k189.cn/club/index


天翼流量管家流量俱乐部活动,订流量包送流量币。

01.jpg


在活动页面想订(比自己现在流量包高的)高价包月流量包刷流量币会被系统拒绝订购。(现在系统识别不正常的恶意订购,比以前进步了。)

02.jpg

但是通过其他途径订高价包月包再回来订相对低价的包会成功(此处例子:其他渠道包50元,回来无障碍包30元)
这种方法似乎不能刷走100元包的最高奖励(1000币)

03.jpg

于是用另一号码,先其他渠道开50元包月一段时间(不知道有没用,当时测试就这样),再其他渠道开100元,趁流量包还在受理时回到活动页面开100元包月。成功刷走1000流量币。加夜间包30元送100币,共可兑换220M流量。
显然我们最少成本是15元(流量包最低5元包月10元夜间)如何做到只用5角成本完成以上事情?

05.jpg

电信流量包第一次开通是按日结算的,所以若是在本月最后一天开通,只需要15元除以30天等于5角,然后退订鸟。

http://3g.k189.cn/order/cancel

04.jpg

刷话费需要通过抽奖,按官方概率可得,每次抽奖的期望值是0.706元加5.3m流量加5流量币,1100流量币可以抽44次,共计31.064元133.2m220币。(所以我推荐抽奖,开玩笑的亲你们快点修复吧)

修复方案:

1,亲你们是长期活动,可以下个月再奖励本月的包月包。
2,系统检测订包时检测其订购渠道是否是自己家的。(我没猜错你们不同渠道是可以识别的)
3,表示测试刷来的币没换话费,换了流量,降低了自己收益。并按照上一个漏洞报告的承诺,不再利用该活动进行非测试刷话费流量。这是我的自律声明。
再表示非常喜欢流量管家,希望你们网站和app越来越好,越来越安全。

版权声明:转载请注明来源 深夜大冒险@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-05-07 12:00

厂商回复:

CNVD确认所述情况(未直接全部复现),已经转由CNCERT直接转报给中国电信集团公司处置。

最新状态:

暂无