线下测试最终获取小米售后管理系统高权限

2015-11-09 15,024

0x01起因

哥们儿新买的小米坏了,让我陪他去修手机,去就去吧,东风吹战鼓擂,要装逼谁怕谁!

xss1

走到小米手机售后营业厅,what?没有wifi!?漫长的修理时间让我耐不住寂寞

于是就.......

 

0x02破解wifi

由于当时是在人家营业厅,不能一边尝试一边拍照,当时也没想到能入侵到小米总部!

首先用万能wifi破解了。手机root,连接了wifi

用一个文件管理的进去手机目录:
data→misc→wifi→wpa_supplicant.conf
打开就能看到连接的wifi密码以及wifi信号名称

xss2

 

 

0x03 中间人攻击

很好,wifi密码到手,我并没有第一时间去上网。我是一个黑客,我就打开nmap...进行内网扫描..

 

反馈如下: 6台xp 1台苹果 4台安卓 一台打印机HP的 网关192.168.1.1

 

看到这些信息我就基本确定是小米店的网络了,如果是附近家庭的不可能这么多电脑,还加一台打印机

 

我就觉得,反正闲着也是闲着,开kali ARP 他们! 为什么我会这么做呢,也许是因为真的等的无聊把。。

 

打开kali Arpspoof 略过过程,整理成果。

xss3

0x04 初入小米售后系统

其中的弯路也略过...发现xiaomi.com域名,觉得有点奇怪...

xss4

有东西玩了~,嘿嘿。。我看到售后管理系统就来兴趣了。然而已经到了一个小时,我同时手机修好了,他说走了。我也没办法和借口说继续留在店里。。。那就只好到家再说了 。。。。

 

 

0x05 XSS跨站漏洞

回到家中急忙打开电脑

 

虽然进去了小米的售后系统,但是貌似有分权限之类的。系统还有许多的权限这个用户是选不到的,还有更高级的人在审核这个帐号的申请。

 

而这样的管理系统是没法getshell的,至少我现在的权限是不行的

纠结了一会,想到上面既然有人在审核,那么换个思路是不是考虑x一下?

如下图↓:

xss5

那么xss放哪里呢?在这里走了一段弯路,当时测试了好几个地方,有些地方限制了必须填写一个XXX码(忘记什么码了,类似于工作牌)

xss6

0x06 大鱼上钩

第二天,发现邮箱被刷屏了~。。。....满满的xss信息提示我邮箱,打开一看,全部都是cookie....

xss7

 

 

登录如下图↓

xss8

终于满足我的心愿了,可以打开售后系统的全部功能了~

居然连BOM都可以查出来,小米手机有多少螺丝我都知道了

。。。。如下↓

咳咳,其中的****,电话,之类的不一一列出....

xss9
复现的话比较难,大家学习个思路就好了

最后带上没有打码的信息图

 

0x07 简单总结

大概就是肉身到小米授权网络地方 kali Arpspoof 劫持,整理信息 发现xiaomi.com 从低权限x到高权限cookie   这种我不知道怎么修复,严格来说不算漏洞。。给后台加强安全吧。

实在不行让我给雷先生打个电话也行···

线下测试最终进入小米关键系统(泄露小米售后资料/客户收获地址/联系电话/手机物料清单等)

目前仅向厂商以及核心白帽子公开,昨日已经获得小米SRC负责人同意(多少好的思路就这样被法律埋没了)

 

Ps:本来是想把一些攻击,比如中间人攻击以及XSS过滤等写细一点

突然又觉得写出来又没什么卵用,都是比较常规的思路,全部加在一起还稍微够看一点。

 

【文章来自bbs.sssie.com的95zz 投稿        安全脉搏胖编整理发布

本文作者:95zz

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/40383.html

Tags:
评论  (4)
快来写下你的想法吧!
  • mtfly 2015-11-16 16:31:15

    万能WIFI获取的密码不是在wpa_supplicant.conf 加密的么?

    • wef 2016-07-30 11:14:02

      @mtfly 路过看一眼,其实有PC版的,PC版连接后直接可以看密码,手机太麻烦

    • SP小编 个人认证 2016-07-31 11:03:34

      @wef 来分享一份百度盘 感谢感谢

  • 小巷子 2017-07-16 16:32:25

    好厉害 大神 我也想进去他们系统看看

95zz

文章数:6 积分: 15

以前我是看别人背影成长的,直到有一天我也成了别人眼中的背影

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号