当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-073854

漏洞标题:国内某短信业务平台存在通用型高危SQL注入漏洞导致短信各网关(移动、联通、电信、小灵通)接入入口和账户信息泄露

相关厂商:cncert国家应急响应中心

漏洞作者: HackBraid

提交时间:2014-08-26 10:04

修复时间:2014-11-24 10:06

公开时间:2014-11-24 10:06

漏洞类型:地下0day/成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-08-26: 细节已通知厂商并且等待厂商处理中
2014-08-31: 厂商已经确认,细节仅向厂商公开
2014-09-03: 细节向第三方安全合作伙伴开放
2014-10-25: 细节向核心白帽子及相关领域专家公开
2014-11-04: 细节向普通白帽子公开
2014-11-14: 细节向实习白帽子公开
2014-11-24: 细节向公众公开

简要描述:

可在多个省市推送定制短信!
这次报告主要内容如下
※通过高危SQL注入漏洞,由于权限很高可以直接添加管理员账户并成功入侵拿到一台服务器
※通过对平台业务的认识,发现存在某省(移动,联通,电信,小灵通)短信网关接入账户。再利用某个高大上的软件的各种功能,攻击者可设计出一条推送特定短信到百万级用户的方案
※由于该系统通用并且以省为单位,按照上面思路动动鼠标即可在多个省市推送特制短信。

详细说明:

青海省:
http://110.167.173.18/default.asp 青海气象短信业务平台

#落脚点(SQL注入)


登录处存在注入

s.png


s1.png


Sa权限,直接添加管理账户,远程连接

s2.png


连上数据库查看下管理员账户,super|密码为空

s3.png


由上图可以看到定制气象短信用户也就35w不到,取消了64w- -!为什么说我能推送定制短信到百万级呢?

#短信网关接入信息泄露


短信各网关接入参数,移动、联通、小灵通、电信的登录账户密码都在下面了

q.png


以电信CDMA为例
http://125.**.**.5:7001/ismp/spportal/ SP门户

spq.png


看下有哪些业务产品

sp0.png


业务资费2元,收益60%=1.2元

sp1.png


还有推送短信功能,但是只能推送到定制业务的号段

sp2.png


看到这里感觉这个sp账户虽然权限很高了,但是还是有种种限制。

#核心终端系统-气象短信业务平台


hx1.png


1.统计号码数量
登上后,我们看到有个号段管理,粗略统计了下青海省移动130W+号码,联通143W+号码,电信120W+号码,小灵通10W,加起来400W号码。

qhhaoma.png


2.构造定制短信
首先选中任务管理--》电信任务管理(或者直接在D盘找到对应的exe执行即可,见下面两图)

qhyw.png


dx.png


然后选择创建通道,归属地区填青海,通道名称填“WooYun漏洞定向推送”(^ ^意淫了)

qhdx1.png


然后创建任务,选择刚刚创建的发布通道“WooYun漏洞定向推送”

qhdx2.png


发布内容如下:

qhdx3.png


3.青海总共定制业务的也就30W个人,我该怎么提高业务量?
首先我们先回到上面的创建任务里的发布用户,点击按业务

qhdx4.png


那么我们只要给所有用户都订上这个业务就ok啦,到主菜单点击业务处理,选择批量定制,左边把所有号码都导入进来,右边的定制业务选择上图中的某个业务

qhyewudingzhi.png


哈哈,还能把用户全都设定为免费的

qhyewudingzhi1.png


这样就能实现任意短信的全省推送了。
上面操作很费时间,发现其实有另外一处更快更省时。在业务处理—批量发送消息
左边导入电话号码,右边导入短信内容

qhdx5.png


漏洞证明:

通用型证明:
重庆:
http://218.201.40.65:7001/
四川:
http://218.205.236.59/
以四川为例

sc.png

修复方案:

注入点修补
不要开3389

版权声明:转载请注明来源 HackBraid@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-08-31 09:28

厂商回复:

最新状态:

暂无


漏洞评价:

评论

  1. 2014-08-26 10:19 | 走火入魔 ( 路人 | Rank:18 漏洞数:2 | 多读书,多看报,少吃零食,多睡觉。)

    前排广告位

  2. 2014-08-26 15:31 | 杨聪 ( 路人 | Rank:0 漏洞数:1 | 新手上路,多多照顾,)

    二楼广告位

  3. 2014-08-26 17:32 | Jack.Chalres ( 实习白帽子 | Rank:39 漏洞数:15 | ..............)

    三楼卖瓜子花生玉米棒

  4. 2014-11-24 10:50 | 小卖部部长 ( 路人 | Rank:24 漏洞数:3 | 别拿部长不当干部!)

    洞主应该发:WOOYUN 路人甲到此一游