线下测试最终获取小米售后管理系统高权限-华盟网

线下测试最终获取小米售后管理系统高权限

华盟学院山东省第二期线下学习计划

  0x01起因

  哥们儿新买的小米坏了,让我陪他去修手机,去就去吧,东风吹战鼓擂,要装逼谁怕谁!

  线下测试最终获取小米售后管理系统高权限

  走到小米手机售后营业厅,what?没有wifi!?漫长的修理时间让我耐不住寂寞

  于是就.......

  0x02破解wifi

  由于当时是在人家营业厅,不能一边尝试一边拍照,当时也没想到能入侵到小米总部!

  首先用万能wifi破解了。手机root,连接了wifi

  用一个文件管理的进去手机目录:

  data→misc→wifi→wpa_supplicant.conf

  打开就能看到连接的wifi密码以及wifi信号名称

  线下测试最终获取小米售后管理系统高权限

  0x03 中间人攻击

  很好,wifi密码到手,我并没有第一时间去上网。我是一个黑客,我就打开nmap...进行内网扫描..

  反馈如下: 6台xp 1台苹果 4台安卓 一台打印机HP的 网关192.168.1.1

  看到这些信息我就基本确定是小米店的网络了,如果是附近家庭的不可能这么多电脑,还加一台打印机

  我就觉得,反正闲着也是闲着,开kali ARP 他们! 为什么我会这么做呢,也许是因为真的等的无聊把。。

  打开kali Arpspoof 略过过程,整理成果。

     线下测试最终获取小米售后管理系统高权限

  0x04 初入小米售后系统

  其中的弯路也略过...发现xiaomi.com域名,觉得有点奇怪...

  线下测试最终获取小米售后管理系统高权限

  有东西玩了~,嘿嘿。。我看到售后管理系统就来兴趣了。然而已经到了一个小时,我同时手机修好了,他说走了。我也没办法和借口说继续留在店里。。。那就只好到家再说了 。。。。

  0x05 XSS跨站漏洞

  回到家中急忙打开电脑

  虽然进去了小米的售后系统,但是貌似有分权限之类的。系统还有许多的权限这个用户是选不到的,还有更高级的人在审核这个帐号的申请。

  而这样的管理系统是没法getshell的,至少我现在的权限是不行的

  纠结了一会,想到上面既然有人在审核,那么换个思路是不是考虑x一下?

  如下图↓:

  线下测试最终获取小米售后管理系统高权限

  那么xss放哪里呢?在这里走了一段弯路,当时测试了好几个地方,有些地方限制了必须填写一个XXX码(忘记什么码了,类似于工作牌)

  线下测试最终获取小米售后管理系统高权限

  0x06 大鱼上钩

  第二天,发现邮箱被刷屏了~。。。....满满的xss信息提示我邮箱,打开一看,全部都是cookie....

  线下测试最终获取小米售后管理系统高权限

  登录如下图↓

  线下测试最终获取小米售后管理系统高权限

  终于满足我的心愿了,可以打开售后系统的全部功能了~

  居然连BOM都可以查出来,小米手机有多少螺丝我都知道了

  。。。。如下↓

  咳咳,其中的客户信息,电话,之类的不一一列出....

  线下测试最终获取小米售后管理系统高权限

  复现的话比较难,大家学习个思路就好了

  最后带上没有打码的信息图

  0x07 简单总结

  大概就是肉身到小米授权网络地方 kali Arpspoof 劫持,整理信息 发现xiaomi.com 从低权限x到高权限cookie 这种我不知道怎么修复,严格来说不算漏洞。。给后台加强安全吧。

  实在不行让我给雷先生打个电话也行···

  线下测试最终进入小米关键系统(泄露小米售后资料/客户收获地址/联系电话/手机物料清单等)

  目前仅向厂商以及核心白帽子公开,昨日已经获得小米SRC负责人同意(多少好的思路就这样被法律埋没了)

  Ps:本来是想把一些攻击,比如中间人攻击以及XSS过滤等写细一点

  突然又觉得写出来又没什么卵用,都是比较常规的思路,全部加在一起还稍微够看一点。

www.idc126.com

原文地址:https://hack.77169.com/201511/216437.shtm

本文由 华盟网 作者:怪狗 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
0

发表评论