饿了么逻辑漏洞之免费吃喝不是梦

漏洞概要

缺陷编号:WooYun-2015-0125060

漏洞标题:饿了么逻辑漏洞之免费吃喝不是梦

相关厂商:饿了么

漏洞作者:计算姬

提交时间:2015-07-07 10:40

公开时间:2015-07-29 16:12

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经修复

Tags标签:

漏洞详情

披露状态:

2015-07-07: 细节已通知厂商并且等待厂商处理中
2015-07-07: 厂商已经确认,细节仅向厂商公开
2015-07-17: 细节向核心白帽子及相关领域专家公开
2015-07-27: 细节向普通白帽子公开
2015-07-29: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

饿了么-中国最专业的网上订餐平台

详细说明:

自认为思路还是屌屌的,没见过类似的漏洞啊,能打雷么~问题是在饿了么早餐的地方,饿了么早餐真心方便啊早餐最近出了个活动,可以领10元抵用券

输入信息后,领取成功

这一步其实是收集信息,后面的一个请求才是真的申领红包抵用券的请求测试发现,一个手机号只能领2个红包

于是就开始fuzz1)正常情况,只能2次,无法多次获取红包

2)测试是否仅对phoneNo做校验,在手机号后面加字母测试

是可以发送成功的,只是因为手机号错误的原因,我们收不到短信3)那么思路就来了,只要phoneNo每次不同,绕过服务端的校验,同时,该值作为发送短信的目标又是真实可达的,就好了也就是说,服务端直接检验phoneNo是否超过2次,同时不经过处理,就直接丢给短信发送平台进行红包短信发送(这是我猜的)最容易想到的就是手机号前面加86了

发送成功,手机也成功收到短信,这样一个手机号就有4个红包了4)那再测试手机号前面加+86

手机木有收到短信,该方法无效5)那再测试第一种手机号后面加非数字的情况

手机也木有收到短信,不过我自己手机测试,是可以发送成功的啊

如上图,自己测试,是能收到短信的,不知道平台为嘛不行6)还是那样,只要phoneNo的值能让平台成功发送短信即可,那我又想到了使用小号用的阿里的小号

成功收到小号转发过来的短信

这样结合上面的两个成功的方法,就可以获得8个红包啦~~阿里小号每个月可以有3次免费临时小号的使用那么就可以获得4*(1+3)=16个红包啦~感觉红包应该够用了啊,但是我不是为了福利,是为了安全啊,继续看看还有没有其他问题7)那继续测,想着手机群发的时候,貌似以逗号,分隔号码,测试下

手机没有收到短信,此时在这个点也fuzz的很长时间,没有用,,就不多说了8)后来又想到分号;作为分隔

测试发现,只有分号前面的手机号可以收到短信,不过目的已经达到了,保持分号前面手机号不变,分号后面任意内容,即可无限制获取红包抵用券的短信

漏洞证明:

总结一下正常情况可以成功

手机号前面加86可以成功

短号,小号,可以转发短信的。例如阿里小号,亲情小号等

分号分隔可以成功,可无限获取红包

3天的早餐只要5毛钱,给饿了么点个赞啊

修复方案:

phoneNo的值要经过提纯再进入短信发送平台进行发送

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2015-07-0711:03

厂商回复:

漏洞已经确认,感谢你对饿了么安全的关注

最新状态:

2015-07-29:漏洞已修复。谢谢你们的关注。

评价

  1. 2010-01-01 00:00 牛 小 帅 白帽子 | Rank:407 漏洞数:34)

    @xsser @浩天 帮我审核呀 谢谢 我的洞好几个都几天没审核了

  2. 2010-01-01 00:00 GHK 白帽子 | Rank:0 漏洞数:0)

    记者拍这里

  3. 2010-01-01 00:00 牛 小 帅 白帽子 | Rank:407 漏洞数:34)

    @GHK 您好 我是记者 ,根据你近期活跃红灯区 各大会所的动态,我们cctv讲为您展开专访

  4. 2010-01-01 00:00 emeditor 白帽子 Rank:0 漏洞数:0)

    窝也要免费吃喝☆_☆)

  5. 2010-01-01 00:00 末影人 白帽子 | Rank:30 漏洞数:3)

    这都能闪电?

  6. 2010-01-01 00:00 牛 小 帅 白帽子 | Rank:407 漏洞数:34)

    我去 666 雷劈了

  7. 2010-01-01 00:00 计算姬 白帽子 | Rank:100 漏洞数:9)

    虽然闪电,这rank也太少了吧,[email protected] 能补咩~

  8. 2010-01-01 00:00 90Snake 白帽子 | Rank:111 漏洞数:10)

    @末影人 你看见详情了?

  9. 2010-01-01 00:00 Jim叔叔 白帽子 | Rank:126 漏洞数:11)

    @计算姬 估计只有等7月的洞主演义,,可以额外奖50WB。。。

  10. 2010-01-01 00:00 JGHOOluwa 白帽子 | Rank:5 漏洞数:1)

    @90Snake 他以前能看到还信,现在那个漏洞修复了,应该看不到吧。。。

  11. 2010-01-01 00:00 v0yager_1ce 白帽子 | Rank:0 漏洞数:0)

    屌屌屌,麻麻以后再也不用担心没中饭吃了

  12. 2010-01-01 00:00 夜鸥 白帽子 | Rank:0 漏洞数:0)

    别提交了。。这个漏洞可以吃半辈子了 哈哈。

  13. 2010-01-01 00:00 凯茵 白帽子 | Rank:20 漏洞数:1)

    然并卵,一个手机号只能兑换两次优惠吗……

  14. 2010-01-01 00:00 计算姬 白帽子 | Rank:100 漏洞数:9)

    @凯茵 你可以找亲戚朋友多个手机号啊

  15. 2010-01-01 00:00 myhalo 白帽子 | Rank:241 漏洞数:22)

    学习闪电新姿势

  16. 2010-01-01 00:00 90Snake 白帽子 | Rank:111 漏洞数:10)

    @JGHOOluwa 他都没看到还在那儿bb 这都能闪电 啥的。。

  17. 2010-01-01 00:00 带馅儿馒头 白帽子 | Rank:1177 漏洞数:109)

    思路不错

  18. 2010-01-01 00:00 s3xy 白帽子 | Rank:698 漏洞数:62)

    goooooooooood

  19. 2010-01-01 00:00 小胖子 白帽子 | Rank:1429 漏洞数:107)

    涨姿势了

  20. 2010-01-01 00:00 f4ckbaidu 白帽子 | Rank:215 漏洞数:21)

    很淫荡的思路

  21. 2010-01-01 00:00 紫衣大侠 白帽子 | Rank:278 漏洞数:23)

    这么机智...

  22. 2010-01-01 00:00 不二 白帽子 | Rank:50 漏洞数:3)

    这个思路屌。

  23. 2010-01-01 00:00 prolog 白帽子 | Rank:518 漏洞数:59)

    3 rank....

  24. 2010-01-01 00:00 luwikes 白帽子 | Rank:415 漏洞数:42)

    赞LZ

  25. 2010-01-01 00:00 小杨 白帽子 | Rank:21 漏洞数:3)

    饿了

  26. 2010-01-01 00:00 然并卵 白帽子 | Rank:0 漏洞数:0)

    好像很多人叫我

  27. 2010-01-01 00:00 计算姬 白帽子 | Rank:100 漏洞数:9)

    @然并卵 然并卵

  28. 2010-01-01 00:00 Power 白帽子 | Rank:29 漏洞数:7)

    这都行...

  29. 2010-01-01 00:00 abaddon 白帽子 | Rank:32 漏洞数:4)

    佩服

  30. 2010-01-01 00:00 90Snake 白帽子 | Rank:111 漏洞数:10)

    佩服~

  31. 2010-01-01 00:00 未出现的风景 白帽子 | Rank:0 漏洞数:0)

    赞~好有趣

  32. 2010-01-01 00:00 Hex 白帽子 | Rank:10 漏洞数:1)

    思路真赞

  33. 2010-01-01 00:00 DKing 白帽子 | Rank:0 漏洞数:0)

    3 RANK........还是搁家里吃一年吧

  34. 2010-01-01 00:00 斯杰 白帽子 | Rank:0 漏洞数:0)

    楼上+1

  35. 2010-01-01 00:00 三浪兄 白帽子 | Rank:15 漏洞数:2)

    吊吊的

  36. 2010-01-01 00:00 pomelo 白帽子 | Rank:0 漏洞数:0)

    3个rank,太不值钱了

  37. 2010-01-01 00:00 路人毛 白帽子 | Rank:28 漏洞数:3)

    打雷的3RANK。。。厂商对他免费吃喝提出了严重抗议

  38. 2010-01-01 00:00 c4bbage 白帽子 | Rank:15 漏洞数:4)

  39. 2010-01-01 00:00 蓝雪 白帽子 | Rank:5 漏洞数:1)

    之前在饿了么付4元买30元东西的事干过些,早知道也来乌云提交了

  40. 2010-01-01 00:00 JGHOOluwa 白帽子 | Rank:5 漏洞数:1)

    @蓝雪 哇妹纸,尼这阔以当作证据告你啊,注意注意~~

  41. 2010-01-01 00:00 计算姬 白帽子 | Rank:100 漏洞数:9)

    @蓝雪 哇妹纸,尼这阔以当作证据告你啊,注意注意~~

  42. 2010-01-01 00:00 蓝雪 白帽子 | Rank:5 漏洞数:1)

    @JGHOOluwa 好可怕( ⊙ o ⊙ )!

  43. 2010-01-01 00:00 蓝雪 白帽子 | Rank:5 漏洞数:1)

    @计算姬 好可怕( ⊙ o ⊙ )!

  44. 2010-01-01 00:00 计算姬 白帽子 | Rank:100 漏洞数:9)

    @蓝雪 妹子表怕~

  45. 2010-01-01 00:00 月小对 白帽子 | Rank:144 漏洞数:14)

    @计算姬 再调戏妹子,我就告诉静静

  46. 2010-01-01 00:00 JGHOOluwa 白帽子 | Rank:5 漏洞数:1)

    @计算姬 再调戏妹子,我就调戏静静

  47. 2010-01-01 00:00 背影 白帽子 | Rank:0 漏洞数:0)

    顶楼主 乌云需要你这样的绿帽子

  48. 2010-01-01 00:00 小手冰凉 白帽子 | Rank:173 漏洞数:15)

    真心涨姿势了