狗皮膏药“e网通”(认真吐槽

附带挖洞过程

Coink

时维二月,春天将至未至。

“寥寥草草 试卷飞舞 字里行间

昏昏沉沉 之乎者也 乘除加减”

我一如既往的塞着耳机刷着考不到200分的理综卷。

这两天,有个名叫e网通的(chuan xiao)组织来到学校做宣传,出售他们的一系列考前考后服务——心理辅导课程提高志愿填报模拟等等等等啥都有,价格呢,也不贵(哈哈哈哈哈),办卡后来网站注册即可,初级版本150,高级版200,我差点就笑出声,这一手小算盘打得好啊,不愧是商人,不多说,反正我不买,你爱怎么折腾怎么折腾,有用最好,没用就当买的人花钱买个教训。

不出所料,班上一大批同学“踊跃购买”,不出所料,全部都是200元版本。 然后这两天班上就都在讨论这网站,大家拿到卡后也纷纷回家激活,随即就有朋友找我吐槽。。这吹的天花乱坠的功能手机app并没有这些功能,必须到电脑上用,可是在这么紧张的考前冲刺阶段,又有多少人能摸得到电脑?我借来同学的账号登陆app:

1.jpg

(呵呵)

那精美的广告宣传页上怎么没见你提到你这app还在beta阶段?一手转移重点玩的真溜。

我抱着太平洋警察的心态打开网站瞅瞅,嚯,猜猜首先映入眼帘的是啥? 是丑哭的前端以及…… 2 .PNG

Excuse me?Excuse me?Excuse me?你们真的是来学习的?你们真的是来学习的?你们真的是来学习的?网站没人管?网站没人管?网站没人管? 这种评论就放首页?

想点进去看看详情已经不行了,必须登陆并且激活卡号,也就是那200大洋的

又随便逛了几个页面,基本确认了一个事实…这个网站的辣鸡程度超乎我的想象 得,是辣鸡还是大辣鸡拉出来遛遛便知,老规矩,从登陆开始,直接上burp,嗯,没毛病,没瑕疵,那么,接着试试找回密码,随便填一个id,找回密码,看到有两种方式: 3.PNG 多试了几个id,发现大部分有用的账号都是绑定了密保问题,而这些密保问题大多数都是“你父/母亲的手机号是?”,有些还绑定了密保手机。

先从只有密保问题的开始,随便输入一个答案,跳转到:

4.PNG

Excuse me?验证码呢?没登陆没cookie你这啥玩意都耿直的写在url里真的大丈夫?爆破之——显然为了一个id爆破全部手机号不划算,况且还不知道这密保问题到底是不是手机号,干脆固定密保答案爆破id好了,密保答案的话。。123456789永远都是有大批人喜欢用的。

Id限制最少3个字符,必须字母开头,那就先设定为3个字母。 结果某位同学不幸中招:

5.PNG

小朋友,密码和密保这些东西设置这么弱的口令是很危险的哦,碰到怪叔叔把你账号嘿嘿嘿的怎么办?

改密之。

成功登陆。

(请叫我怪叔叔

6.png

信息一览无余。

7.PNG

嘛,大半夜的改你密码我也挺过意不去,编个善意的谎言吧

8.PNG

如果说这个漏洞更多的体现弱口令的危害,网站不加验证只是推波助澜而已,那么另一种验证方式,手机验证,就直接体现该网站的不足之处了。

前面我们说到,还有一种验证方式是密保手机,此时网站会给出该手机号的前三位和后四位,看看源码,唔,不是自欺欺人的隐藏,试试爆破验证,哟,这回加上了随机验证码,此路不通。

我想了一会儿,说不定这密保问题的答案,就是绑定的手机呢?按这尿性,岂不是爆破四位纯数字即可?have a try:

10.PNG

构造,导入4位纯数字payload,分分钟:

123.png 受害人数喜+1.

不过这个账号的vip过期时间是去年9月,看来是学长,我就不费力气找你告诉你新密码咯。

同理,任何账号都可以批量/定向爆破,只要你字典够nice。

不一会儿:

11.PNG

总结:你们能想到做这么大一个项目,推销给这么多考生,说明你们有能力有想法,可是能不能请你们稍微考虑一下质量?首页天天就那些乌七八糟的评论?宣传广告天花乱坠APP连beta都算不上? 密码系统就这么不堪一击?验证码都考虑不到?“强大的服务阵容可靠的服务保障”“完备的技术研发团队”你逗谁笑呢。

mdzz.jpg

说句不好听的,滥竽充数混淆视听捞学生的钱,你们良心呢。学校还连续几年都推荐学生购买,你们真的对学生负责了?真的有人上过这个网站看过一眼?

12.png

辣鸡

2boom.jpg