0x01起因

哥们儿新买的小米坏了，让我陪他去修手机，去就去吧，东风吹战鼓擂，要装逼谁怕谁！

走到小米手机售后营业厅，what？没有wifi！？漫长的修理时间让我耐不住寂寞

于是就.......

 

0x02破解wifi

由于当时是在人家营业厅，不能一边尝试一边拍照，当时也没想到能入侵到小米总部！

首先用万能wifi破解了。手机root，连接了wifi

用一个文件管理的进去手机目录：
data→misc→wifi→wpa_supplicant.conf
打开就能看到连接的wifi密码以及wifi信号名称

 

 

0x03 中间人攻击

很好，wifi密码到手，我并没有第一时间去上网。我是一个黑客，我就打开nmap...进行内网扫描..

 

反馈如下： 6台xp 1台苹果 4台安卓 一台打印机HP的 网关192.168.1.1

 

看到这些信息我就基本确定是小米店的网络了，如果是附近家庭的不可能这么多电脑，还加一台打印机

 

我就觉得，反正闲着也是闲着，开kali ARP 他们！ 为什么我会这么做呢，也许是因为真的等的无聊把。。

 

打开kali Arpspoof 略过过程，整理成果。

0x04 初入小米售后系统

其中的弯路也略过...发现xiaomi.com域名，觉得有点奇怪...

有东西玩了~，嘿嘿。。我看到售后管理系统就来兴趣了。然而已经到了一个小时，我同时手机修好了，他说走了。我也没办法和借口说继续留在店里。。。那就只好到家再说了 。。。。

 

 

0x05 XSS跨站漏洞

回到家中急忙打开电脑

 

虽然进去了小米的售后系统，但是貌似有分权限之类的。系统还有许多的权限这个用户是选不到的，还有更高级的人在审核这个帐号的申请。

 

而这样的管理系统是没法getshell的，至少我现在的权限是不行的

纠结了一会，想到上面既然有人在审核，那么换个思路是不是考虑x一下？

如下图↓：

那么xss放哪里呢？在这里走了一段弯路，当时测试了好几个地方，有些地方限制了必须填写一个XXX码（忘记什么码了，类似于工作牌）

0x06 大鱼上钩

第二天，发现邮箱被刷屏了~。。。....满满的xss信息提示我邮箱，打开一看，全部都是cookie....

 

 

登录如下图↓

终于满足我的心愿了，可以打开售后系统的全部功能了~

居然连BOM都可以查出来，小米手机有多少螺丝我都知道了

。。。。如下↓

咳咳，其中的客户信息，电话，之类的不一一列出....

复现的话比较难，大家学习个思路就好了

最后带上没有打码的信息图

 

0x07 简单总结

大概就是肉身到小米授权网络地方 kali Arpspoof 劫持，整理信息 发现xiaomi.com 从低权限x到高权限cookie   这种我不知道怎么修复，严格来说不算漏洞。。给后台加强安全吧。

实在不行让我给雷先生打个电话也行···

线下测试最终进入小米关键系统（泄露小米售后资料/客户收获地址/联系电话/手机物料清单等）

目前仅向厂商以及核心白帽子公开，昨日已经获得小米SRC负责人同意（多少好的思路就这样被法律埋没了）

 

Ps：本来是想把一些攻击，比如中间人攻击以及XSS过滤等写细一点

突然又觉得写出来又没什么卵用，都是比较常规的思路，全部加在一起还稍微够看一点。

 

【文章来自bbs.sssie.com的95zz 投稿        安全脉搏胖编整理发布】