当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-013679

漏洞标题:联通adsl宽带 记录用户信息;强插广告。

相关厂商:联通adsl

漏洞作者: 路人甲

提交时间:2012-10-21 20:30

修复时间:2012-12-05 20:30

公开时间:2012-12-05 20:30

漏洞类型:恶意信息传播

危害等级:低

自评Rank:1

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-10-21: 细节已通知厂商并且等待厂商处理中
2012-10-24: 厂商已经确认,细节仅向厂商公开
2012-11-03: 细节向核心白帽子及相关领域专家公开
2012-11-13: 细节向普通白帽子公开
2012-11-23: 细节向实习白帽子公开
2012-12-05: 细节向公众公开

简要描述:

联通通过218.25.246.117这台服务器记录用户信息,通过218.25.246.118这台服务器强插广告!

详细说明:

今天打开百度时,浏览器状态栏出现cnzz的统计过程。感觉诡异,于是查看了一下源代码,下了一大跳。


上述js代码,格式化以后是这样:(部分信息进行了*处理)

<script language="javascript">
var d = "=iunm?=ifbe?=tds***uzqf>#ufyu0kb**tdsjqu#?gvodujpo!mp*uusjcvuf)*|wbs!g>epdvnfou/hfuFmfnfouCzJe)#g#*<wbs!tfswfs>#i***0032*/36/357/228;91#<wbs!sfrvjsfe>#uddb>d4mg[H:v[{BxO{d>'vsjq>3:58179479'psmv>bIS1dEpwM***6jZXmleT6kc31>'tqje>**13941'bsfb>***uddb>d4mg[H:v[{BxO{d>#<jg)tfmg/ep*vnfou/mpdbujpo>>xjo**px/epdvn**u/VSM!''!epdvnfou/cpe***ouXjeui?";
function i(_, __) {
    _ += __;
    var $ = "";
    for (var u = 0; u < _.length; u++) {
        var r = _.charCodeAt(u);
        $ += String.fromCharCode(r - 1);
    }
    return $;
}
var c = ">611!''!epdvnfou/cpez/dmjfouIfjhiu?>611*|g/tsd>tfs***#0b0l@#,sf***sfe,#'luzqf>1'lxje>1'xuzqf>91'xtje>438#<~fmtf**tsd>tfswfs,#0b0q@#,sfrvjsfe,***mbh>1#<~~=0tdsjqu?=0ifbe?=cpez!pompb***beBuusjcvu***!sjh**Nbshjo>1!upqNbshjo>1!mfguNbshjo>1!tdspmm>op?=jgsbnf!je>#g#!gsbnfCpsefs>1!xjeui>211&!ifjhiu>211&!tds***joh>bvup!tsd>##?=0jgsbn**=0cpez?=0iunm?";
document.write(i(d, c));
</script>


解码之后是这样:

<iframe id="f" width="100%" scrolling="auto" height="100%" frameborder="0" src="http://218.25.246.117:80/a/k?tcca=c3l**G9u**AwNzc=&urip=294**68**8&orlu=aHR0cDo******iYWlkdS5jb20=&spid=20**102***&area=1*6&tcca=c3l****9uZzAwNzc=&ktype=0&kwid=0&wtype=80&wsid=3**">


百度了一下218.25.246.117 ,发现是联通的服务器!
对这个地址进行抓包,发现第二次访问该地址不会又特殊操作,只是302弹回百度。(也就是说,记录用户行为的代码会随机出现)
抓到的数据包:HTTP/1.1 302 Moved Temporarily..Date: Sun, 21 Oct 2012 05:45:18 GMT..Server: Apache/2.2.11 (Unix) DAV/2 mod_jk/1.2.26..Location: http://www.baidu.com?ts=1350798318..Content-Length: 0..MS-Author-Via: DAV..Connection: close..Content-Type: text/plain....
不断的更换IP,清空cookie,反复尝试,希望统计代码再次出现。没想到这次弹的是广告,代码差不多,是另一台服务器:
第二次访问百度,出现的加密代码:

<script>var d="=iunm?=ifbe?****zqf>#ufyu0kbwbtdsjqu#?gvodujpo!mpbeBuusjcvuf)*|wbs!g>epdvnfou/hfuFmfnfouCzJe)#g#*<wbs!tfswfs>#iuuq;0****36/357/229;91#<wbs!sfrvjsfe>#be****11695'uddb>d4mg[H:v[{BxO{d>****q>3:581816:5'p****S1dEpwM4e4ez6jZXmleT6kc31>'tqje>51:4:362:****b>257'ut>24618:::53#<jg)t****vnfou/mpdbujpo>>xjoepx/epdvnfou/VSM!''!epdvnfou/cpe****fouXjeui?>611!''!epdvnfou/c****jfouIfjhiu?>611*|g/tsd>tfsw****0t";function i(_,__){_+=__;var $="";for(var u=0;u<_.length;u++){var r=_.charCodeAt(u);$+=String.fromCharCode(r-1);}return $;} var c="@g>betuzmf`ud/iunm'#,sfrvjsfe,#'bpsmv>bIS1dEpwM3Jvbn:ybXGwMnOwcT:i[INwcHmic36qcnd>'q2bsn>411'q3bsn>411'q4bsn>61'q5bsn>4'q6bsn>4'q7bsn>2'bqqe>1'ibtDpvou>2'ibtXijufVtfs>2#<~fmtf|g/tsd>tfswfs,#0b0q@#,sfrvjsfe,#'qvtiGmbh>1#<~~=0tdsjqu?=0ifbe?=cpez!pompbe>#mp****jcvuf)*#!sjhiuNbshjo>1!upqNbshjo>1!mfguNbshjo>1!tdspmm>op?=jgsbnf!je>#g#!gsbnfCpsefs>1!xjeui>2****jhiu>211&!tdspmmjoh>bvup!tsd>##?=0jgsbnf?=0cpez?=0iunm?";document.write(i(d,c));</script>


解密之后:

<iframe id="f" width="100%" scrolling="auto" height="100%" frameborder="0" src="http://218.25.246.118:80/a/p?adid=2***84&tcca=c3lfZ***ZzAwNzc=&urip=29470***94&orlu=aHR0cD***3d3dy5iYW***S5jb20=&spid=409***5190&area=146&ts=1350799***&pushFlag=0">


这次进行了完整的数据包记录。我只是打开了一下百度首页,却默默的执行了这么多操作!




注意,cnzz的统计代码



看到了cnzz的统计页面地址,打开看看


!!!

漏洞证明:

修复方案:

停止劫持行为。
停止统计用户的行为。
停止强插广告的行为。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2012-10-24 21:41

厂商回复:

CNCERT/CNVD暂未在实例中复现(可遇而不可求),针对用户曾经投诉过的可能涉及基础电信运营企业push系统异常的事件,在近几年来的案例中未能直接确认异常行为的发起源,以CNCERT当前技术能力和职能范围暂未能完善处置。
rank 10.

最新状态:

暂无

漏洞评价:

评论

  1. 2012-10-21 20:37 | p.z 认证白帽子 ( 普通白帽子 | Rank:411 漏洞数:40 )

    哼 你能怎么办

  2. 2012-10-21 20:39 | shack2 ( 普通白帽子 | Rank:470 漏洞数:71 | QQ:1341413415 一个热爱编程(Java),热爱网...)

    我表示我最近也遇到了,经常插广告,我说最近网速咋有底点卡,抓包一看,访问一串是一串的

  3. 2012-10-21 21:07 | 瓜瓜 ( 普通白帽子 | Rank:173 漏洞数:25 )

    哼 你能怎么办

  4. 2012-10-21 21:38 | l4mbda ( 路人 | Rank:22 漏洞数:3 | 嘘嘘)

    这尼玛,你让厂商咋办呢?自己阉了自己?@路人甲

  5. 2012-10-21 21:58 | liner ( 普通白帽子 | Rank:165 漏洞数:27 )

    小心被北京网警刘浩找上门

  6. 2012-10-21 22:29 | iiiiiiiii ( 普通白帽子 | Rank:680 漏洞数:89 | )

    小心不让你上网

  7. 2012-10-21 23:15 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    这是国内潜规则。。估计会直接忽略。。

  8. 2012-10-22 09:58 | LittlePig ( 路人 | Rank:5 漏洞数:2 | </html>)

    直接忽略妥妥的。一边收钱一边弹广告什么的某通最喜欢干了。(你说我这句话会不会被某通记录下来呢~)

  9. 2012-10-25 14:44 | LittlePig ( 路人 | Rank:5 漏洞数:2 | </html>)

    我这边托管广告的ip是61.135.22.5。

  10. 2012-12-05 20:49 | softbug ( 实习白帽子 | Rank:66 漏洞数:10 | 为人类设计最好的软件,解放人的双手,一起...)

    四川联通也会弹,包括dns解析错误的时候会把提成的alimama嵌入进来。这是个人行为还是官方行为呢,如果有四川联通的建议看看。

  11. 2012-12-05 20:52 | Xhm1n9 ( 实习白帽子 | Rank:57 漏洞数:13 | bug)

    狗日的电*,联*

  12. 2012-12-05 23:36 | 水泥中的鱼 ( 路人 | Rank:30 漏洞数:4 | 我就是我,尘世中一迷途小书童。)

    北京联通前一阵也有,悬浮一个狗皮膏药难看死,最近一段时间消停了。

  13. 2012-12-06 04:10 | safe121 ( 实习白帽子 | Rank:98 漏洞数:11 | http://www.gov.cn)

    以CNCERT当前技术能力和职能范围暂未能完善处置。

  14. 2012-12-06 09:27 | 园长 ( 普通白帽子 | Rank:134 漏洞数:14 | 你在身边就是缘,缘分写在数据库里面。)

    @shack2 你见过运营商不插广告的??