蘇寧豆芽怎樣遠(yuǎn)程操作?客戶(hù)端控制目標(biāo)手機(jī)可以遠(yuǎn)程實(shí)現(xiàn)

老是提交一些撞庫(kù)漏洞都給小廠商而且感覺(jué)技術(shù)含量不高，這次打算找個(gè)應(yīng)用好好研究研究，看到一個(gè)經(jīng)常提供1000禮品卡給力的廠商-蘇寧易購(gòu)，果斷下載安卓客戶(hù)端走起。發(fā)現(xiàn)了一些問(wèn)題綜合起來(lái)最后達(dá)到的效果就是發(fā)送給好友一個(gè)蘇寧的鏈接（m.suning.com），對(duì)方打開(kāi)如果對(duì)方裝有蘇寧易購(gòu)客戶(hù)端就能夠控制對(duì)方，包括克隆對(duì)方的賬號(hào)，獲得對(duì)方手機(jī)信息，發(fā)短信等等。。

蘇寧豆芽怎樣遠(yuǎn)程操作？客戶(hù)端控制目標(biāo)手機(jī)可以遠(yuǎn)程實(shí)現(xiàn)圖一

進(jìn)入下載

蘇寧豆芽 5.11.0.0 官方版
大�。�75.26 MB
日期：2019/9/14 14:58:24
環(huán)境：WinXP, Win7, Win8, Win10, WinAll

環(huán)境 未root安卓4.2機(jī)器和4.2模擬器

0x01 私有短網(wǎng)址生成過(guò)程過(guò)濾不嚴(yán)

蘇寧有自己的短網(wǎng)址生成方式，在用戶(hù)分享商品時(shí)就會(huì)觸發(fā)，會(huì)按照用戶(hù)的id和商品網(wǎng)址生成短網(wǎng)址，過(guò)程中會(huì)檢測(cè)網(wǎng)址中是否包含”suning.com“，包含就可以生成，否則拒絕。這種檢測(cè)方式很容易繞過(guò)url結(jié)尾加上#suning.com就可以

測(cè)試地址：http://m.suning.com/dl/qJeA5UsD.html

請(qǐng)求數(shù)據(jù)包精簡(jiǎn)后如下：

蘇寧豆芽怎樣遠(yuǎn)程操作？客戶(hù)端控制目標(biāo)手機(jī)可以遠(yuǎn)程實(shí)現(xiàn)圖二

建議修改成首先獲得域名，然后匹配域名后綴。

ps: 某訊在https檢測(cè)時(shí)也用了類(lèi)似的方式。。。。。

0x02 Intent接口過(guò)濾不嚴(yán)

蘇寧易購(gòu)客戶(hù)端提供以下Intent接口

蘇寧豆芽怎樣遠(yuǎn)程操作？客戶(hù)端控制目標(biāo)手機(jī)可以遠(yuǎn)程實(shí)現(xiàn)圖三

這個(gè)接口提供的一個(gè)功能就是使用蘇寧內(nèi)嵌的瀏覽器打開(kāi)指定網(wǎng)址，這里依然沒(méi)有對(duì)目標(biāo)網(wǎng)址進(jìn)行過(guò)濾。

這個(gè)接口調(diào)用方式如下

蘇寧豆芽怎樣遠(yuǎn)程操作？客戶(hù)端控制目標(biāo)手機(jī)可以遠(yuǎn)程實(shí)現(xiàn)圖四

測(cè)試地址：http://31.220.48.93:28214/sn/jm.html 使用安裝有蘇寧易購(gòu)的手機(jī)瀏覽器打開(kāi)這個(gè)網(wǎng)址就會(huì)跳轉(zhuǎn)到蘇寧然后打開(kāi)烏云，如圖

蘇寧豆芽怎樣遠(yuǎn)程操作？客戶(hù)端控制目標(biāo)手機(jī)可以遠(yuǎn)程實(shí)現(xiàn)圖五

建議修復(fù)同上

0x03 用戶(hù)可被克隆

正常用戶(hù)登錄后，數(shù)據(jù)區(qū)會(huì)產(chǎn)生比較多的數(shù)據(jù)，經(jīng)過(guò)反測(cè)試發(fā)現(xiàn)

蘇寧豆芽怎樣遠(yuǎn)程操作？客戶(hù)端控制目標(biāo)手機(jī)可以遠(yuǎn)程實(shí)現(xiàn)圖六

這個(gè)文件包含用戶(hù)的所有信息，如果能獲得用戶(hù)的這個(gè)文件就能克隆用戶(hù)。測(cè)試方式，在A機(jī)器上登錄用戶(hù)，復(fù)制出EbuyPreferences.xml文件。在B機(jī)器上打開(kāi)一次蘇寧易購(gòu)，然后用剛才的EbuyPreferences.xml覆蓋同名文件，再打開(kāi)蘇寧易購(gòu)就已經(jīng)是A的身份了，修改昵稱(chēng)發(fā)現(xiàn)操作正常，確定有權(quán)限。

修復(fù)的話(huà)匹配機(jī)器碼或者mac都可以。

誰(shuí)有權(quán)限跑到別人手機(jī)里去復(fù)制文件？就算能在別人手機(jī)復(fù)制文件，但是沒(méi)root權(quán)限也不能跨應(yīng)用讀文件，這個(gè)似乎不好利用，別急，繼續(xù)看。

0x04 遠(yuǎn)程命令執(zhí)行

這個(gè)漏洞確實(shí)比較早了，具體看這里http://drops.wooyun.org/papers/548。在android 4.2之后就需要在被js調(diào)用的方法上強(qiáng)制增加@JavascriptInterface 否則不能調(diào)用，但是android同時(shí)存在一個(gè)妥協(xié)的辦法就是如果程序允許在低版本的androd API上運(yùn)行，則不用遵守@JavascriptInterface這個(gè)規(guī)則，以為這遠(yuǎn)程命令執(zhí)行漏洞依然存在。

12下一頁(yè)>

蘇寧豆芽 5.11.0.0 官方版

• 軟件性質(zhì)：國(guó)產(chǎn)軟件
• 授權(quán)方式：免費(fèi)版
• 軟件語(yǔ)言：簡(jiǎn)體中文
• 軟件大�。�77063 KB
• 下載次數(shù)：1840 次
• 更新時(shí)間：2019/9/14 9:47:52
• 運(yùn)行平臺(tái)：WinAll...
• 軟件描述：蘇寧豆芽客戶(hù)端是一款專(zhuān)為蘇寧內(nèi)部員工聊天而開(kāi)發(fā)的企業(yè)聊天軟件，蘇寧豆芽集終端同步... [立即下載]