当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-057828

漏洞标题:中国电信大量内部资料泄露并导致某系统沦陷

相关厂商:中国电信

漏洞作者: if、so

提交时间:2014-04-20 13:31

修复时间:2014-06-04 13:32

公开时间:2014-06-04 13:32

漏洞类型:内部绝密信息泄漏

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-04-20: 细节已通知厂商并且等待厂商处理中
2014-04-25: 厂商已经确认,细节仅向厂商公开
2014-05-05: 细节向核心白帽子及相关领域专家公开
2014-05-15: 细节向普通白帽子公开
2014-05-25: 细节向实习白帽子公开
2014-06-04: 细节向公众公开

简要描述:

中国电信大量内部资料泄露并导致某系统沦陷

详细说明:

说起来让人觉得搞笑,一日我在google上搜东西,有次输入了电信文档,直接出来个网站让我吓一跳。

1111.jpg


看上去有些料啊,打开一看。。

1111.jpg

,卧槽,各种后台。。
篇幅太长,写在这里

欢迎光临江苏电信网上客服中心:http://js.ct10000.com
江苏电信(IPOSS):http://202.102.36.139
DSL Expresse系统诊断分析:http://202.102.41.25/nanjing
IPTV综合网管应用:http://58.223.80.55:8080/lims/login.jsp
江苏电信综合调度系统(4.0):http://jsoss.telecomjs.com
在线营销推广平台:http://118.84.204.68
江苏电信宽带测速网站:http://speedtest.jsinfo.net/st
测速网站插件:http://yxlg200.cn/114.exe
安装向导2.0更新20131203版:http://pan.baidu.com/s/1bnxO9yf
安装向导2.0查询地址:http://221.226.28.194:8777/Login/login.do
天翼看家视频头配置软件:http://yxlg200.cn/2.rar
天翼看店(家):http://www.189eyes.com/
天翼看店(家)后台:http://202.102.108.45:9000/
360下行测试软件:http://yxlg200.cn/360.rar
电信上行测试软件:http://yxlg200.cn/1.rar
RasPPPoE_098c拨号软件(XP):http://yxlg200.cn/RasPPPoE_098c.EXE
安卓拨号软件(需要ROOT权限)用手机把扩展号改成apk:http://yxlg200.cn/ppp.exe
ITV测试软件(VLC):http://yxlg200.cn/itv.rar
无线信号测试软件WirelessMon:http://yxlg200.cn/WirelessMon.exe
无线信号测试软件WirelessMon使用说明书:http://yxlg200.cn/WirelessMon使用说明.doc
中国电信江苏公司宽带排障手册:http://yxlg200.cn/123.exe
江苏电信宽带10000管家软件(已更为宽带上网助手):http://yxlg200.cn/10000gj.exe
江苏电信宽带10000管家操作手册:http://yxlg200.cn/10000sc.doc
爱运维下载: http://202.102.116.111:8080/irec/down
掌上综调下载:http://jsoss.telecomjs.com/mop/download?tag=index
终端管理(itms):http://202.102.41.211:8080/itms/dynamicMenu/
商务领航(bbms):http://itms.jsinfo.net:8080/bbms/login.jsp
互联网集中认证:http://202.102.13.123:7001/login.jsp
天翼宽带主页:http://cwclient.vnet.cn/
天翼注册地址:http://passport.189.cn/SelfS/L/Reg/Select.aspx
天翼通行证密码找回:http://passport.189.cn/SelfS/Find/
天翼通行证用户名找回:http://passport.189.cn/SelfS/Find/GetName.aspx
南京电信代维协同办公系统:http://58.213.158.101:8888/
欢迎来到中国电信网上大学:http://www.ctuonline.com.cn/www/jsp/index.jsp
网信:http://pp.js.vnet.cn/index.jsp
平安商铺用户:http://pa.jsict.com:8080/globeyes/user/index.jsp
平安商铺管理员:http://pa.jsict.com:8080/globeyes/admin/index.jsp
互联星空拨号软件:http://yxlg200.cn/ChinaNetClient.exe
互联星空:http://js.vnet.cn/
福彩拨号后缀:帐号(五位数)@jsfc.vpdn.js
福彩测试帐号:jsfctest@jsfc.vpdn.js
体彩拨号后缀:帐号(五位数)@jstc.js
http://192.168.1.1/updatesettings.html
http://192.168.1.1/menu.html
http://192.168.1.1/bcmtw.html
http://192.168.1.1/multissid.html
http://192.168.1.1/index.html
远程桌面:132.229.41.230 或 132.229.188.29
D-NJPDKJ-008 001
17,帐号 10659670022
内网:itms http://132.228.172.167:7070/itms
内网:bbms http://132.228.172.167:8080/bbms
下载网站
绿色下载吧:http://www.xiazaiba.com/
驱动之家:http://www.mydrivers.com/
华军软件园:http://nj.onlinedown.net/
江苏音符:http://jsinfo.vnet.cn/
天空软件站:http://www.skycn.com/index.html
金陵热线:http://www.jlonline.com/

ITV(1.0)升级服务器地址:http://221.231.144.27/b600
ITV(2.0)升级服务器地址:http://221.231.144.114/32207
EPG(1.0)主页地址:http://221.231.144.4:8080/iptvepg/
EPG(2.0)主页地址:http://58.223.251.139:8298/auth
ITV机顶盒网关:192.168.1.12
1-1和B猫用户名telecomadmin和密码nE7jA%5m
1-2猫用户名useradmin密码admin!@#$%^
多端口猫地ACS URL地址为 http://bbms.jsinfo.net:6060/ACS-server/ACS 或 http://202.102.15.115:6060/ACS-server/ACS
平安商铺 GES-IPC2010视频播放插件 :http://pa.jsict.com/download/client/web.rar
平安商铺视频客户端完整包:http://pa.jsict.com/download/client/pa_1.0.2.4a.rar
nj_bx njbx12 192.168.1.77
跟踪路由:tracert IP 或 域名
administrator
tracert?-d?cn4.grunt.wowchina.com
2.6.9网通
交流(AC)和直流(DC):
静态用户和VPN用户自动开通操作:
装维人员在用户端使用“njkd+宽带接入号”现场拨号报错691,如用户的宽带接入号是108812345,则使用“njkd108812345”拨号,这也是目前大部分区域装维人员使用的拨号方式。在拨号完成之后,装维人员发送短信触发启动配置。如果是VPN用户,则发送内容“3,vpn宽带接入号” 到10659670022,如发送“3, 108812345”到10659670022,中间的逗号支持中文输入法下和英文输入法。如果是静态专线用户,发送内容“18,静态用户宽带接入号”,如发送“18,108754321” 到10659670022。注意这里装维人员一定要区分VPN用户和普通静态用户。发送短信后,会收到已经受理的短信。如果发送短信后,系统发现没有拨号清单,会提示再次拨号;如果发现综调中心还没有配置IP地址,则会提示该工单还没分配IP地址,需等待综调中心分配IP地址;如果配置完成,会提示装维人员已经成功配置。
ONU设备端口操作:
EPON用户端口状态查询。发送短信内容 “19,宽带接入号, 3” 到10658670022。如发送“19,108812345,3”到10658670022,即可查询宽带接入号108812345接入的onu设备端口的状态。装维人员发送短信后,首先会收到一条已经受理的短信,等查询结果出来后,会再次收到一条短信,显示该用户接入ONU设备的端口是打开还是关闭;短信内容中,宽带接入号是指108××××形式的接入号,而不是025×××形式的用户用于拨号上网的帐号,请注意区分;各个字段之间用逗号分隔,同时支持中文输入法下的逗号(,)和英文输入法下的逗号(,)。下同。
将EPON用户端口关闭操作。发送短信内容 “19, 宽带接入号, 2” 到10658670022。即可对用户接入的端口进行关闭。如发送“19,108812345,2”到10658670022,即可将108812345用户接入的ONU端口进行关闭。
将EPON用户端口打开操作。发送短信内容 “19, 宽带接入号, 1” 到10658670022。即可将用户接入的ONU设备端口打开。
更换端口,装维人员指定需要更换到的新的ONU设备和端口,同时指定原端口已经被其他用户占用。这种情况发送短信内容“20,1, 宽带接入号,新的ONU编码,新端口” 到10658670022。如发送“20,1,108812345,ZX-ONU-B0002569,12” 到10658670022,即可将用户108812345更换到ZX-ONU-B0002569这个结点的12号端口,同时新的12号端口打开,原端口不关闭(因为已经被其他用户占用,不能关闭,否则会导致其他用户报障)。
更换端口,装维人员指定需要更换到的新的ONU设备和端口,同时指定原端口已经坏或者其他情况(即原端口有问题,所以才要更换,这种情况下,原端口要关闭)。这种情况发送短信内容“20,2, 宽带接入号,新的ONU编码,新端口” 到10658670022。这样用户被更换至新的ONU编码结点的端口上,新端口打开,原端口被关闭。
更换端口,只指定需要更换的新的ONU编码,但是不指定端口。这种情况发送短信内容“20,1, 宽带接入号,新的ONU编码” 到10658670022。如发送“20,1,108812345,ZX-ONU-B0002569” 到10658670022,即可将108812345更换至新的结点ZX-ONU-B0002569,程序自动找一个空余端口并打开,并已短信形式通知装维人员端口信息。如果是被占用,短信中第2个参数为1,如果是端口坏或者其他情况,则为2。如果该ONU没有空余端口,会将信息反馈给装维人员。
更换端口,不指定需要更换的ONU编码和端口。这种情况下,程序会自动在用户原来接入的ONU结点上找一个空余端口。发送短信内容“20,1, 宽带接入号” 到10658670022。
宽带帐号短信解绑。发送短信内容“4,宽带接入号” 到10658670022。
iTV帐号短信解绑。发送短信内容“17,宽带接入号” 到10658670022。
综上,发送短信格式为:端口操作格式为:“19, 宽带接入号, 1/2/3”,其中的19表示端口操作,1表示打开,2表示关闭,3表示查询;端口更换的格式为:“20,1/2,宽带接入号,onu编码,onu端口”,20表示更换端口,1表示原端口被占用更换后原端口不能关闭,2表示更换后原端口需要关闭,ONU编码和端口可加可不加,加上就指定更换到该结点或者端口,不指定就在原设备上找空余的端口。


感觉上面的系统都是一些重要的,有的很重要的那种,找找软柿子吧,一会找到了一个命令执行

1111.jpg

,这个爱运维存在s2-016 struts 2命令执行

Target: http://202.102.116.111:8080/irec/login!in
Whoami: root
WebPath: /filedata/apache-tomcat-product/webapps/irec/


并可上传shell,shell地址http://202.102.116.111:8080/irec/bak.jsp

QQ截图20140418195917.jpg


然后在想为什么这个网站会有很多电信后台,后来whois查询,得到邮箱,搜索邮箱,发现是个电信员工,有点坑,简直给人一个渗透指南针啊!

漏洞证明:

1111.jpg


欢迎光临江苏电信网上客服中心:http://js.ct10000.com
江苏电信(IPOSS):http://202.102.36.139
DSL Expresse系统诊断分析:http://202.102.41.25/nanjing
IPTV综合网管应用:http://58.223.80.55:8080/lims/login.jsp
江苏电信综合调度系统(4.0):http://jsoss.telecomjs.com
在线营销推广平台:http://118.84.204.68
江苏电信宽带测速网站:http://speedtest.jsinfo.net/st
测速网站插件:http://yxlg200.cn/114.exe
安装向导2.0更新20131203版:http://pan.baidu.com/s/1bnxO9yf
安装向导2.0查询地址:http://221.226.28.194:8777/Login/login.do
天翼看家视频头配置软件:http://yxlg200.cn/2.rar
天翼看店(家):http://www.189eyes.com/
天翼看店(家)后台:http://202.102.108.45:9000/
360下行测试软件:http://yxlg200.cn/360.rar
电信上行测试软件:http://yxlg200.cn/1.rar
RasPPPoE_098c拨号软件(XP):http://yxlg200.cn/RasPPPoE_098c.EXE
安卓拨号软件(需要ROOT权限)用手机把扩展号改成apk:http://yxlg200.cn/ppp.exe
ITV测试软件(VLC):http://yxlg200.cn/itv.rar
无线信号测试软件WirelessMon:http://yxlg200.cn/WirelessMon.exe
无线信号测试软件WirelessMon使用说明书:http://yxlg200.cn/WirelessMon使用说明.doc
中国电信江苏公司宽带排障手册:http://yxlg200.cn/123.exe
江苏电信宽带10000管家软件(已更为宽带上网助手):http://yxlg200.cn/10000gj.exe
江苏电信宽带10000管家操作手册:http://yxlg200.cn/10000sc.doc
爱运维下载: http://202.102.116.111:8080/irec/down
掌上综调下载:http://jsoss.telecomjs.com/mop/download?tag=index
终端管理(itms):http://202.102.41.211:8080/itms/dynamicMenu/
商务领航(bbms):http://itms.jsinfo.net:8080/bbms/login.jsp
互联网集中认证:http://202.102.13.123:7001/login.jsp
天翼宽带主页:http://cwclient.vnet.cn/
天翼注册地址:http://passport.189.cn/SelfS/L/Reg/Select.aspx
天翼通行证密码找回:http://passport.189.cn/SelfS/Find/
天翼通行证用户名找回:http://passport.189.cn/SelfS/Find/GetName.aspx
南京电信代维协同办公系统:http://58.213.158.101:8888/
欢迎来到中国电信网上大学:http://www.ctuonline.com.cn/www/jsp/index.jsp
网信:http://pp.js.vnet.cn/index.jsp
平安商铺用户:http://pa.jsict.com:8080/globeyes/user/index.jsp
平安商铺管理员:http://pa.jsict.com:8080/globeyes/admin/index.jsp
互联星空拨号软件:http://yxlg200.cn/ChinaNetClient.exe
互联星空:http://js.vnet.cn/
福彩拨号后缀:帐号(五位数)@jsfc.vpdn.js
福彩测试帐号:jsfctest@jsfc.vpdn.js
体彩拨号后缀:帐号(五位数)@jstc.js
http://192.168.1.1/updatesettings.html
http://192.168.1.1/menu.html
http://192.168.1.1/bcmtw.html
http://192.168.1.1/multissid.html
http://192.168.1.1/index.html
远程桌面:132.229.41.230 或 132.229.188.29
D-NJPDKJ-008 001
17,帐号 10659670022
内网:itms http://132.228.172.167:7070/itms
内网:bbms http://132.228.172.167:8080/bbms
下载网站
绿色下载吧:http://www.xiazaiba.com/
驱动之家:http://www.mydrivers.com/
华军软件园:http://nj.onlinedown.net/
江苏音符:http://jsinfo.vnet.cn/
天空软件站:http://www.skycn.com/index.html
金陵热线:http://www.jlonline.com/

ITV(1.0)升级服务器地址:http://221.231.144.27/b600
ITV(2.0)升级服务器地址:http://221.231.144.114/32207
EPG(1.0)主页地址:http://221.231.144.4:8080/iptvepg/
EPG(2.0)主页地址:http://58.223.251.139:8298/auth
ITV机顶盒网关:192.168.1.12
1-1和B猫用户名telecomadmin和密码nE7jA%5m
1-2猫用户名useradmin密码admin!@#$%^
多端口猫地ACS URL地址为 http://bbms.jsinfo.net:6060/ACS-server/ACS 或 http://202.102.15.115:6060/ACS-server/ACS
平安商铺 GES-IPC2010视频播放插件 :http://pa.jsict.com/download/client/web.rar
平安商铺视频客户端完整包:http://pa.jsict.com/download/client/pa_1.0.2.4a.rar
nj_bx njbx12 192.168.1.77
跟踪路由:tracert IP 或 域名
administrator
tracert?-d?cn4.grunt.wowchina.com
2.6.9网通
交流(AC)和直流(DC):
静态用户和VPN用户自动开通操作:
装维人员在用户端使用“njkd+宽带接入号”现场拨号报错691,如用户的宽带接入号是108812345,则使用“njkd108812345”拨号,这也是目前大部分区域装维人员使用的拨号方式。在拨号完成之后,装维人员发送短信触发启动配置。如果是VPN用户,则发送内容“3,vpn宽带接入号” 到10659670022,如发送“3, 108812345”到10659670022,中间的逗号支持中文输入法下和英文输入法。如果是静态专线用户,发送内容“18,静态用户宽带接入号”,如发送“18,108754321” 到10659670022。注意这里装维人员一定要区分VPN用户和普通静态用户。发送短信后,会收到已经受理的短信。如果发送短信后,系统发现没有拨号清单,会提示再次拨号;如果发现综调中心还没有配置IP地址,则会提示该工单还没分配IP地址,需等待综调中心分配IP地址;如果配置完成,会提示装维人员已经成功配置。
ONU设备端口操作:
EPON用户端口状态查询。发送短信内容 “19,宽带接入号, 3” 到10658670022。如发送“19,108812345,3”到10658670022,即可查询宽带接入号108812345接入的onu设备端口的状态。装维人员发送短信后,首先会收到一条已经受理的短信,等查询结果出来后,会再次收到一条短信,显示该用户接入ONU设备的端口是打开还是关闭;短信内容中,宽带接入号是指108××××形式的接入号,而不是025×××形式的用户用于拨号上网的帐号,请注意区分;各个字段之间用逗号分隔,同时支持中文输入法下的逗号(,)和英文输入法下的逗号(,)。下同。
将EPON用户端口关闭操作。发送短信内容 “19, 宽带接入号, 2” 到10658670022。即可对用户接入的端口进行关闭。如发送“19,108812345,2”到10658670022,即可将108812345用户接入的ONU端口进行关闭。
将EPON用户端口打开操作。发送短信内容 “19, 宽带接入号, 1” 到10658670022。即可将用户接入的ONU设备端口打开。
更换端口,装维人员指定需要更换到的新的ONU设备和端口,同时指定原端口已经被其他用户占用。这种情况发送短信内容“20,1, 宽带接入号,新的ONU编码,新端口” 到10658670022。如发送“20,1,108812345,ZX-ONU-B0002569,12” 到10658670022,即可将用户108812345更换到ZX-ONU-B0002569这个结点的12号端口,同时新的12号端口打开,原端口不关闭(因为已经被其他用户占用,不能关闭,否则会导致其他用户报障)。
更换端口,装维人员指定需要更换到的新的ONU设备和端口,同时指定原端口已经坏或者其他情况(即原端口有问题,所以才要更换,这种情况下,原端口要关闭)。这种情况发送短信内容“20,2, 宽带接入号,新的ONU编码,新端口” 到10658670022。这样用户被更换至新的ONU编码结点的端口上,新端口打开,原端口被关闭。
更换端口,只指定需要更换的新的ONU编码,但是不指定端口。这种情况发送短信内容“20,1, 宽带接入号,新的ONU编码” 到10658670022。如发送“20,1,108812345,ZX-ONU-B0002569” 到10658670022,即可将108812345更换至新的结点ZX-ONU-B0002569,程序自动找一个空余端口并打开,并已短信形式通知装维人员端口信息。如果是被占用,短信中第2个参数为1,如果是端口坏或者其他情况,则为2。如果该ONU没有空余端口,会将信息反馈给装维人员。
更换端口,不指定需要更换的ONU编码和端口。这种情况下,程序会自动在用户原来接入的ONU结点上找一个空余端口。发送短信内容“20,1, 宽带接入号” 到10658670022。
宽带帐号短信解绑。发送短信内容“4,宽带接入号” 到10658670022。
iTV帐号短信解绑。发送短信内容“17,宽带接入号” 到10658670022。
综上,发送短信格式为:端口操作格式为:“19, 宽带接入号, 1/2/3”,其中的19表示端口操作,1表示打开,2表示关闭,3表示查询;端口更换的格式为:“20,1/2,宽带接入号,onu编码,onu端口”,20表示更换端口,1表示原端口被占用更换后原端口不能关闭,2表示更换后原端口需要关闭,ONU编码和端口可加可不加,加上就指定更换到该结点或者端口,不指定就在原设备上找空余的端口。


QQ截图20140418195917.jpg

修复方案:

。。

版权声明:转载请注明来源 if、so@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-04-25 08:02

厂商回复:

cnvd确认并复现所述情况,已经作为紧急事件向中国电信集团公司通报。根据信息泄露涉及的系统运行安全风险,rank 20

最新状态:

暂无


漏洞评价:

评论

  1. 2014-04-25 09:58 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    哪里的

  2. 2014-04-25 10:11 | if、so 认证白帽子 ( 核心白帽子 | Rank:1008 漏洞数:91 | 梦想还是要有的,万一实现了呢?)

    @wefgod 都有

  3. 2014-05-26 12:42 | 木马人 ( 普通白帽子 | Rank:113 漏洞数:25 | 白,灰,黑)

    牛逼

  4. 2014-06-04 14:50 | nzk1912 ( 实习白帽子 | Rank:41 漏洞数:10 | 软件开发8年了,也来挖挖漏洞,为创建安全...)

    靠,我说这个网站上不去了。

  5. 2014-06-05 10:14 | 暧昧 ( 路人 | Rank:6 漏洞数:3 | 此号乃是吾用来装孙子也)

    这都行 叼 我得去google里面挖掘挖掘类似的

  6. 2014-06-05 12:09 | MarkGUN ( 路人 | Rank:13 漏洞数:2 | 我是GONG,因为我喜欢一切美好的东西,但是...)

    牛逼的娃呀,膜拜下