当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0138639

漏洞标题:海尔智能APP多漏洞组合爆破用户信息间接控制用户设备

相关厂商:海尔集团

漏洞作者: 纳米翡翠

提交时间:2015-09-02 16:46

修复时间:2015-10-21 10:22

公开时间:2015-10-21 10:22

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-02: 细节已通知厂商并且等待厂商处理中
2015-09-06: 厂商已经确认,细节仅向厂商公开
2015-09-16: 细节向核心白帽子及相关领域专家公开
2015-09-26: 细节向普通白帽子公开
2015-10-06: 细节向实习白帽子公开
2015-10-21: 细节向公众公开

简要描述:

某一个炙热的夏天,你买回一个海尔智能空调,连上wifi,朋友圈各种嘚瑟,APP远程设置好温度,想着今天可以美美的睡一觉了,结果后半夜突然热醒了,一看自己家的空调竟然开着制热39度在狂吹,是空调坏了还是你的空调已经被别人控制了??

详细说明:

废话不多说了,这次主题就是爆破,爆破用户名、爆破密码
1.爆用户名
海尔的APP也真是多,一个产品一个APP

Screenshot_2015-09-02-16-09-06.png


这还只是其中的几个,之所以下载这么多,目的就是看看不同APP工作原理,按照开发惯例,同一个公司的不同产品,会有很多共同点,以下是针对海尔不同APP的探索总结:
--->所有的产品共用一个用户表,同一个用户可以登录不同的APP,这一点无可厚非
--->不同的产品可以使用不同的头像,头像保存在http://203.130.41.40:80/download/resource/下面的不同的产品目录里面
--->登录接口未做防爆处理,可以无限尝试登录
在经过对海尔APP多次研究和信息收集之后,爆破开始:
1.1 收集用户ID
海尔APP登录的时候会从http://203.130.41.40:80/download/resource下载用户的头像,幸运的是该目录可以列目录

QQ截图20150902161724.jpg


经过分析发现海尔不同的APP将用户的头像保存在不同的目录下面,并且以用户的ID为目录名:

QQ截图20150902161850.jpg


于是乎不管三七二十一把所有目录下面的id号都收集了一下,结果收集到ID共38772条(有遗漏)

QQ截图20150902161955.jpg


拿到ID之后,下一步就是通过ID拿到用户的用户名
经过一些探索,发现在海尔好空气app的论坛处存在id与用户名的对应关系

QQ截图20150902162343.jpg


打开一个帖子,并抓包,可看到返回的json里面有id与loginName的对应:

QQ截图20150902162435.jpg


点击评论,提交评论并抓包,发现评论处可以填入其它用户的ID:

QQ截图20150902162531.jpg


这样的话我们只需要把ID更改为之前我们收集到的id列表,然后遍历用户名,丢给burpsuite

QQ截图20150902162729.jpg


之后再访问之前的贴子,即可在评论处拿到所有遍历的用户的信息

QQ截图20150902162917.jpg


抓包拿到该评论列表的json数据:

QQ截图20150902163037.jpg


整理后提取用户名,如下:

QQ截图20150902163201.jpg


2.爆破密码,拿到用户名了,爆破密码成不成功就是看字典强不强大了,这里只使用了简单的几个密码:

QQ截图20150902163530.jpg


burpsuite抓包拿到APP登录的地址,然后丢到Intruder,导入用户名列表,接下来等,由于用户多,爆破慢所以就提前结束了

QQ截图20150902163826.jpg


整理爆破的结果,一共969条数据

QQ截图20150902163949.jpg


3.拿个用户登录尝试一下

Screenshot_2015-09-02-16-43-19.png


即可控制该用户空调

漏洞证明:

5700多用户,爆破完成80%,弱口令字典简单的情况下竟然有969条爆破成功的数据,接近20%的成功率,我只想说不要把安全寄予到用户身上,更多的需要企业方来做好安全

修复方案:

绑定设备,增加校验

版权声明:转载请注明来源 纳米翡翠@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2015-09-06 10:21

厂商回复:

感谢乌云平台白帽子的测试与提醒,我方已安排人员进行处理

最新状态:

暂无