本文来自习科论坛会员投稿,原作者写在前面的话:喜欢漂亮妹子 && 喜欢打LOL吗?如果不是,请点击右上角的叉。

从Google搜一搜优玩UUwant,让"约"从游戏开始,众多主播力捧《优玩》神马的...小编就不写软文了。总之,在优玩注册的妹子要小心啦,喜欢玩lol的宅男们福利来啦:优玩APP仅上线一个月就出现很多安全问题了。

 

 

仍是原作者写在前面的话:前几天看七号跟笑笑的抗韩中年人,广告很喜感,内容很精彩,不错~最后七号还做了他们公司APP的广告,于是我就手欠下载了一个。当然,我才不会在自己手机上装!

习科论坛会员投稿称优玩APP存在大量的安全隐患,包括厉遍会员隐私数据,注入等,习科不鼓励不教唆入侵行为,因此小编只发原稿件的挖掘漏洞和技术分析部分,最后的注入点就暂时删掉了。


I. 请君入瓮

官方网站:优玩APP - uuwant.cn
在官网下载APP之后,丢安卓模拟器,安装之。这一步就不多说了。反正我安卓虚拟机一运行就崩了。

在上周,这个APP还是可以通过安卓虚拟机设置代理,进行抓包的。但是现在....burp 根本抓不到。烦死了~

当然,那个时候我已经找到了一个sql注入了, mysql的root权限哟~

不过,既然burpsuite已经不能抓包了,那就换个思路好了。

 

II. 笑而不语

庖丁解牛,那是一种境界,当然我还不行。

抓不到包的情况下,那就尝试反编译吧,我自己其实对于反编译并不了解,并且再次之前并没有尝试过。考虑着他们未必会因为存在sql注入而去修改app内部的一些特定访问。

以下是过程:

1 下载ApkIDE 链接大家自己找吧~

2 这个东西,在添加好项目之后,运行起来是这样的:

 

 

3, 查看java源代码(天知道为什么这个APP不加密,直接反编译出源码):

 

 

4,查找相关HTTP的URL,果不其然,很容易就找到了

 

 

5,在浏览器试试找到的URL吧~

拿出测注入的时候抓到的包..提交的参数如下:

device=android&uuid=ffffffff-9841-ea64-ffff-ffff99d8bea6&appversion=1.0&member_id=12315

发现当URL为api.uuwant.cn//api/seller/sell_info时,post提交上述参数,即可获取数据。

 

 

最后,厉遍member_id,通过jid参数进行获取手机号啊! 至于怎么获取妹子照片么...请自己注意后面的那个URL,如果还是不明白。。。看看下面这张照片的url地址 :-)

 

 

 III. 原作者要32个赞

 原作者说他没有在注入点下载数据库,所以他想要32个赞,小编只想说:裤子可以买,妹子没地儿买,优玩你们买来了妹子可是要保护好人家呀,保护不好我们可以替你们保护。

//silic.wiki