文章中所有内容仅供学习交流,不得用于其他任何目的,文中敏感内容已做脱敏处理,严禁用于商业和非法用途,否则由此产生的一切后果与作者无关。如有侵权,请联系作者立即删除。
某 App 账户漏洞分析
软件名称:Ym9tYg==
简介
前两天 b 站上了铠甲勇士刑天,但是要大会员才能看,于是到跑到网上去找。在一个网站里面找到了高清修复版。然后发现这个网站里面资源还挺多的,就进首页去看了看。
本打算随便点几个栏目看看,结果点进去一个广告,就是这个软件,于是下载下来看了看(主要是看到上面写的海量资源)
漏洞分析
打开软件后首先就是一个充值界面,随便查看 3 个视频后,会提示必须充值 vip 才能继续看。会员价格 3 天就要 30 元,半年要 199,真是割菜了。
1.png (97.33 KB, 下载次数: 0)
下载附件
2024-5-6 23:00 上传
但是天无绝人之路,经过查看后可以发现,这个 app 做的非常的简陋,用户注册只需要一个手机号并设定密码,甚至都不能发验证码,更别提修改密码了。使用 reqable 抓包后发现,观看影片时会发送一个请求(https://*****/Home/getSummaryPlayMainData),header 中包含用户的 token(jwt加密),body 中则是用户 id 和 影片 id,甚至可以把 token 去掉,不会对响应造成任何影响。如果没有权限再观影,响应中不会返回影片 url。
没错,大家现在想的肯定和我一样——这个接口根本就没校验 token 啊!那我们直接换一个用户 id 不就行啦。而且更重要的是,这个接口会返回用户的 vip 信息和他的 token ,那我们直接用大量可能存在的 id 去试不就行了?经过测试,这个方法可行。
IMG_20240506_231843.jpg (99.87 KB, 下载次数: 0)
下载附件
2024-5-6 23:20 上传
还没结束!前面我们不是说了,这个接口会返回用户的 token,都有 token 了,我们不就相当于有一个 vip 账号了?并且多数用户都是临时用户(包括 vip),并没有注册,那我们甚至可以拿着他的 token 去注册一个账号,这个账户不就直接变成我们的了……
最后,只想吐槽一句:海量资源?可以没有,不能骗人啊!
