当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-072632

漏洞标题:定位宝可定位任意客户手机号码/无限制使用/登陆任意账号(包括管理员)/可以监听手机,定位,查看对方行踪

相关厂商:dwb.so

漏洞作者: Ban have

提交时间:2014-09-04 15:51

修复时间:2014-10-19 15:52

公开时间:2014-10-19 15:52

漏洞类型:设计错误/逻辑缺陷

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-09-04: 细节已通知厂商并且等待厂商处理中
2014-09-04: 厂商已经确认,细节仅向厂商公开
2014-09-14: 细节向核心白帽子及相关领域专家公开
2014-09-24: 细节向普通白帽子公开
2014-10-04: 细节向实习白帽子公开
2014-10-19: 细节向公众公开

简要描述:

[定位宝]路遇Ban have,善良之人搭救,不求回报。rank即可。哈!--
第一弹哦!

详细说明:

我自评就20吧 其实30也不为过吧?

漏洞证明:

百度搜索定位宝 dwb.so

Screenshot_2014-08-15-21-36-31.png

第一弹没什么技术含量-.-.
权限控制:发送短信/发送彩信 *询问* (我使用的手机自带的,没有的可以使用防护软件例如360,LBE安全大师...无需root)
#使用任意手机号注册:

Screenshot_2014-08-15-21-37-14.png

随便输入手机号码,选择发送验证码。权限控制会弹出上面的框框。就可以看到验证码内容了。直接拒绝发送,输入验证码,OK登陆成功了<img

Screenshot_2014-08-15-21-41-04.png

结果页面
#登陆用户的账号,以便获得其所在位置:
登陆成功!
start open GPS---

Screenshot_2014-08-15-21-58-54.png

定位成功!
#如何获得用户的账号:
加入官方群,可以询问或者社工群成员的手机号码就OK。或者社工库查找手机号码。
我是直接询问的……
#漏洞证明:

Screenshot_2014-08-15-22-04-37.png


Screenshot_2014-08-15-22-06-12.png


Screenshot_2014-08-15-22-21-05.png


Screenshot_2014-08-15-22-22-21.png


Screenshot_2014-08-15-23-03-06.png


Screenshot_2014-08-15-23-04-00.png

修复方案:

So,easy!
在这里我就简单的说两种方法吧:
#1 如果资金允许。使用网络发信平台,例如:申请浏览http://dwb.so/check.php 网页形式读取手机状态IMEI或其他信息,自动生成验证码通过网络平台发送到手机。可绑定手机,实现一机一号。
#2 如若资金不太充足。可以自己编写一款加密或者调用其它的的加密方法。同样方法本机发送验证码将验证码加密,读取短信将验证码发送到服务器解密程序,例如123加密后为zxc789可以将zxc789发送到http://dwb.so/jm.php&key=AC1G15G1DS51BFD51B?ID=zxc789解密返回自动登陆。
验证码最好加密,它就属于密码。
尽量不要使用本机发送数据,且尽量少使用本机客户的权限。能替代尽量替代。

版权声明:转载请注明来源 Ban have@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-09-04 15:57

厂商回复:

此漏洞,是设计遗漏,尽快修复!

最新状态:

2014-09-05:人艰不拆,现在很艰难,还是被拆了。这帮小屁孩,做事欠周全,下周上班要好好的治治!