吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 7720|回复: 47
收起左侧

[Android 原创] 记一次某电玩城App登入任意账号的漏洞以及利用

  [复制链接]
moleft 发表于 2022-6-14 09:00
本帖最后由 moleft 于 2022-6-21 10:10 编辑

已经跟平台的运营人员沟通过这个漏洞了,会在近期去修复,所以这里就不把App放出来了。大家学个思路就好。
首先我们打开软件映入眼帘的是一个大写的“微信一键登录”,这里我们不管他,随便登入一个账号(怕大家去做坏事,我把logo给挡住了)。

600ca74622f8036a821256f18ad120a.jpg

登录成功之后,发现页面也没有什么特殊的地方

e50d3310671b236d861df5cc947ee26.jpg

我们直接用MT管理器,打开储存SharedPreferences的地方,看看他是怎么保存的登录数据

841061b355e30eb6acc523aafc19cfe.jpg

好家伙,里面文件够简单的,感觉这个Demo.xml很有问题,打开来看看

3cad0951373be48e3833c27b5415223.jpg

果然不出我所料,里面存的就是登录的信息,发现字段如下:code,user_name,is_first,account

除了is_first字段表达意思不同,其他三个很好理解,只要拿到这三个字段,就可以伪造任何人登录了

那就祭出小黄鸟,看看能不能找到这几个字段

3ea9276bfe59801e9452461a56a3808.jpg

为了方便下手,我这里直接选的首页排行榜,果然找到了code和user_name两个字段,还剩最后一个account就可以伪造登录了

于是在我不停寻找之后,将目标放在了添加好友上面,用code去添加好友,看看能不能骗服务器把account交给我们

c08ef79841238418eefb3a7f128ed4e.jpg

果然在跟服务器“友好”的沟通之后,服务器也是如愿以偿的把account交给了我们,支持本次伪造登录已经圆满完成。

给大家看看利用漏洞的成果,一个是登录平台客服的号,另一个是排行榜“首富”的号

0484913329143cfd1357237ddf79839.jpg 22e7ae331923b53c33f4d8009ef0af0.jpg

在最后提醒大家一句,违法的事情不要做
3097ae924b7cc18df9fb540dccd52ae.jpg

免费评分

参与人数 8吾爱币 +9 热心值 +8 收起 理由
STARLORD + 1 + 1 热心回复!
jolin7714 + 1 + 1 谢谢@Thanks!
笙若 + 1 + 1 谢谢@Thanks!
蓦留 + 1 + 1 我很赞同!
tang0326 + 1 热心回复!
1MajorTom1 + 1 热心回复!
正己 + 4 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
coder9527 + 1 + 1 热心回复!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

xfmiao 发表于 2022-6-15 11:54
还好没被报警抓起来,以前也有人反馈漏洞,被报警抓了
Monklamn 发表于 2022-6-15 13:09
laos 发表于 2022-6-15 09:33
那大神你觉得什么叫bug?

我不是大神,就是个路人。。。只是比较喜欢读书,了解一点互联网知识。。多读书可以了解更多的知识。

首先,业务流程上没有问题。如果传过去的是A用户信息,返回给了你B用户信息,这个叫bug;
楼主验证过程已经说明,用户传递没有问题。
其次,如果说研发方案中有加密过程,但是本地xml文件却没有进行加密,这个叫bug;
楼主验证过程已经说明,从设计上就没有加密要求。不然,后台收到楼主的请求信息,应该是无法解密的,也不会正常返回用户信息。
头像被屏蔽
lamao2020 发表于 2022-6-14 15:58
于仙生 发表于 2022-6-14 16:18
这种软件真的好多,前段时间我还遇到了一个支付接口没加密的的上市软件,不过最后还是告知他们要修改一下接口,软件开发者得注意了啊
马甲下的蛋 发表于 2022-6-14 16:46
其实这种类型的还是不少的
zpiao110 发表于 2022-6-14 18:21
很有这般操作,长知识了
zelda 发表于 2022-6-14 18:30
所以这种管理程序,还不如用小程序省心安全些?
skyadmin 发表于 2022-6-14 19:27
没有绝对的安全
alongzhenggang 发表于 2022-6-14 20:30
这不得来个vvvip
laos 发表于 2022-6-14 20:41
超低级的bug
shehuizhuyihao 发表于 2022-6-14 21:23
哈哈哈哈啊,谢谢分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-21 22:16

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表