到營業廳修手機引發的血案

https://zhuanlan.zhihu.com/p/21361571

很抱歉，貌似這篇文章寫的不夠好，但是沒關係。依然在更新，儘力寫完、寫好！

給大家帶來一篇和小夥伴去年底一起完成的作品。

0x01起因

哥們兒新買的小米壞了，讓我陪他去修手機，what？漢紙修手機找我幹嘛，去就去吧，東風吹戰鼓擂，要裝逼誰怕誰！小米手機售後營業廳以後，what？沒有wifi！？

漫長的修理時間讓我耐不住寂寞於是就.......

0x02破解wifi

由於當時是在人家營業廳，不能一邊嘗試一邊拍照，當時也沒想到能入侵到小米總部！

首先用萬能wifi破解了。手機root，連接了wifi

用一個文件管理的進去手機目錄：

data→misc→wifi→wpa_supplicant.conf

打開就能看到連接的wifi密碼以及wifi信號名稱

0x03 中間人攻擊

很好，wifi密碼到手，我並沒有第一時間去上網。打開nmap...進行內網掃描..

反饋如下： 6台xp 1台蘋果 4台安卓 一台印表機HP的 網關192.168.1.1

看到這些信息我就基本確定是小米店的網路了，如果是附近家庭的不可能這麼多電腦，還加一台印表機

我就覺得，反正閑著也是閑著，開kali ARP 他們！

打開kali Arpspoof 略過過程，整理成果。

0x04 初入小米售後系統

其中的彎路也略過...發現http://xiaomi.com域名，覺得有點奇怪...

有東西玩了~我看到售後管理系統就來興趣了。然而已經到了一個小時，我同時手機修好了，他說走了。我也沒辦法和借口說繼續留在店裡。。。那就只好到家再說了 。。。。

0x05 XSS跨站漏洞

回到家中急忙打開電腦

雖然進去了小米的售後系統，但是貌似有分許可權之類的。系統還有許多的許可權這個用戶是選不到的，還有更高級的人在審核這個帳號的申請。

而這樣的管理系統是沒法getshell的，至少我現在的許可權是不行的。

糾結了一會，想到既然後台存在上下級關係，那麼換個思路是不是考慮XSS一下？

如下圖↓：

在這裡走了一段彎路，當時測試了好幾個地方，有些地方限制了必須填寫一個XXX碼

0x06 大魚上鉤

第二天，發現郵箱被刷屏了~滿滿的XSS信息提示我郵箱，打開一看，全部都是cookie....

替換cookie欺騙進入後台，登錄如下圖↓

終於滿足我的心愿了，可以打開售後系統的全部功能了~

居然連BOM都可以查出來，小米手機有多少螺絲我都知道了

如下↓

咳咳，其中的客戶信息，電話，之類的以及小米抽獎內幕啥的就不一一列出了

=======================我是趕著去吃飯的小總結=========================

1.圖片水印被我抹去了，是自己的博客轉載過來的。版權問題無糾紛。

2.看待大多數的問題都習慣了『黑客思維』，還有很多更精彩的現實生活引發的血案，敬請期待

3.內行看門道，外行看熱鬧。文章中很多專業名詞，大家不懂的可以在評論區提出來。願意耐心解答，做這個專欄的初衷就是希望有更多人的關注安全領域。黑客不是一味的趴在電腦上做事，也可以在生活中做到很多很有趣的事情。

4.漏洞已經通報，因為漏洞已經修復了再發表的。所以不存在什麼教唆他人犯罪，請那些「維護知乎環境」的小夥伴指下留情。

推薦閱讀：