当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-078512

漏洞标题:京信通信HNB-10,A01L型Femto基站各种权限控制问题,可被用作伪基站群发垃圾短信等非法用途

相关厂商:京信通信

漏洞作者: zylalx1

提交时间:2014-10-07 11:36

修复时间:2015-01-05 11:38

公开时间:2015-01-05 11:38

漏洞类型:权限控制绕过

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-10-07: 细节已通知厂商并且等待厂商处理中
2014-10-11: 厂商已经确认,细节仅向厂商公开
2014-10-14: 细节向第三方安全合作伙伴开放
2014-12-05: 细节向核心白帽子及相关领域专家公开
2014-12-15: 细节向普通白帽子公开
2014-12-25: 细节向实习白帽子公开
2015-01-05: 细节向公众公开

简要描述:

隐藏登录地址可试出,登录可绕过,登录后无二次验证,可修改所有GSM参数,乱改可能对GSM网络造成干扰,可通过自带功能上传与下载所有程序与数据文件,并调出隐藏的群发短信功能,可能被用作伪基站等非法用途

详细说明:

首先背景是,一年多前开始家里一直没移动的信号,找移动投诉一年多都是敷衍,后来我突然发现可以在工信部的网站上投诉,结果投诉之后没过两天移动就给我打电话了,马上派人来家里免费装了个京信的Femto基站(基站型号HNB-10,A01L,产品类别GSM_N2,硬件版本HNB-10,A01LV2,软件HNB10L_A0AV01.00.1110_0)。(工信部这效率堪比12306)
Femto基站就是个最大功率30dBm的微型GSM基站,通过家里的宽带连接移动网络,提供GSM信号,同时还具有WLAN功能。为防止出乱子,普通用户只能通过192.168.197.1与admin/123456修改WLAN部分的设置,厂家人员通过隐藏地址与特殊用户名和密码才能修改GSM部分的设置(当时来安装的厂家人员不让我仔细看,只知道有个复杂的界面)。
不知道隐藏地址,我就从0试到255,结果地址是192.168.197.241,早知道我从上往下试了……
看源码,与登录有关的全在/js/USER.js里面,用户身份有三种定义,familyUser、marketUser和root,通过/C/userProcessFunction.asp?reqType=4&role=marketUser可以查到marketUser对应的用户名是debug(root那个有点问题我就没弄),USER.js验证密码正确后会SetCookie,但cookie中只包含用户名、用户身份与登录成功标志,登录后也只验证用户名与用户身份是否对应,而不会验证密码,所以在登录界面直接运行SetCookie就能绕过登录。

1.png


进去之后再无二次验证,可以修改所有GSM参数,如果乱改可能对GSM网络造成干扰

2.PNG


又翻了翻进去之后的一堆源码,找到一个/business/config/fileManager.asp,是个隐藏的自带的文件管理器(而且不登录也能用),可以上传与下载基站的所有程序与数据文件,包括主程序包(/tffs0/user2/OAM.zip)与密码数据(/ram0/OAM/software/web/web_page/web.xml)

3.PNG


4.PNG


中间那两个密码是123456,上下两个在各个md5网都查不出来,不过可以替换掉之后上传文件然后再用修改密码功能修改并保存(因为是在ram里替换,所以必须用修改密码功能修改并保存,rom里保存的位置我没找到)。
我不想改默认密码,但是又不甘心都找到md5了还不知道密码,最后百度了一下竟然在豆丁找到一个内部的Femto设备安装手册,里面直接写了密码是2342@WAS_ap,看了下md5是对的,要是早知道这个我就不用这么绕来绕去了……不过好像就debug这个用户名好使,其他几个都不行

5.PNG


主程序包没有加密,里面有基站本身运行的一些程序和web管理界面所有的东西,里面的/OAM/software/web/web_page/xml/manTree.xml是选项菜单列表,里面欢迎短信和文件管理两行被注释掉了,修改之后上传

6.PNG


群发短信和文件管理在左侧的列表里出现了(虽然文件管理不出现也能用)

7.PNG


另外还有个问题,使用备份设置功能生成的param.xml,其中就有群发短信的选项,修改后再载入设置,可以不使用文件管理等隐藏功能就达到群发短信的目的(我最开始就是这么干的)

8.PNG


然后就是效果,要是再把CRO改大点,把RXLEV-ACCESS-MIN改小点,都能比得上一些伪基站了,测试时刚一开家里一堆手机同时响起短信铃声,趁还没发到别人家去赶紧关掉。不过伪基站一个也得上万,这个可是只要去工信部网站投诉就能免费领取的……

9.png

漏洞证明:

上面已经写得比较详细了,不再赘述

修复方案:

要改的很多,可以参照上面的说明一条条修改,多做一些验证工作和加密工作,不要把那些重要的东西放在容易被发现的地方。
不过用Femto基站的人还不是很多,所以影响应该还没那么严重,慢慢改就好

版权声明:转载请注明来源 zylalx1@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2014-10-11 17:04

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2014-10-07 11:44 | Suner ( 路人 | Rank:21 漏洞数:2 | 洞次打次)

    欧巴都说屌

  2. 2014-10-07 11:49 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    强!

  3. 2014-10-07 11:51 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

  4. 2014-10-07 11:57 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    @泳少 在干呀?

  5. 2014-10-07 11:57 | JJ Fly ( 普通白帽子 | Rank:317 漏洞数:59 | 今天播下一颗种子。)

    看这里。

  6. 2014-10-07 12:03 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    @袋鼠妈妈 我路过的

  7. 2014-10-07 12:44 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    牛逼 吓尿了

  8. 2014-10-07 13:50 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    是带上万能钥匙然后翻墙进了某基站拉?

  9. 2014-10-07 15:19 | 小卖部部长 ( 路人 | Rank:24 漏洞数:3 | 别拿部长不当干部!)

    记者同志,请看这里!!!

  10. 2014-10-07 17:33 | loopx9 ( 核心白帽子 | Rank:602 漏洞数:62 | ..)

    NIU B

  11. 2014-10-07 20:43 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    这事谁的马甲?

  12. 2014-10-07 20:53 | RainShine ( 路人 | Rank:2 漏洞数:4 )

    Niu B

  13. 2014-10-07 22:33 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    好长的标题

  14. 2014-10-08 17:53 | zylalx1 ( 路人 | Rank:14 漏洞数:2 | ……)

    @scanf 可能是我没说清楚,这个不是那种大型基站,是Femto基站,是装在自己家里的,和无线路由器有点像,但是多了GSM功能,最大发射功率30dBm,覆盖半径可能有50m左右,具体你可以百度下Femto基站

  15. 2014-10-08 18:00 | zylalx1 ( 路人 | Rank:14 漏洞数:2 | ……)

    @scanf 这个基站是因为我家没移动的信号,找工信部投诉,免费送的,通过家里的宽带连接移动的网络,提供GSM信号,同时还具有WLAN功能,为防止出乱子,普通用户是无法修改GSM部分的参数配置的,只有厂家人员才能改,我弄掉的就是这个

  16. 2014-10-08 18:08 | zylalx1 ( 路人 | Rank:14 漏洞数:2 | ……)

    @scanf 另外,估计是担心被用作伪基站的问题,群发短信功能即使对厂家人员也是不可见的,不过我把基站的主程序包弄出来改了下,就能用了。30dBm的功率虽然不大,但是通过改大CRO、改小RXLEV-ACCESS-MIN等方式可以欺骗较远处的手机重选到本基站并强行发送短信,所以如果被用作伪基站还是有一定危害性的

  17. 2014-10-08 22:16 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    高科技,为什么我这有信号,求投诉方式...可不可以当信号屏蔽器用?

  18. 2014-10-08 22:25 | along ( 实习白帽子 | Rank:45 漏洞数:7 | 关注信息安全,阿龙)

    强,这也行

  19. 2014-10-08 23:09 | zylalx1 ( 路人 | Rank:14 漏洞数:2 | ……)

    @scanf 移动在我那片的基站坏了,从一年多前就开始找移动投诉让他修,一直都是敷衍,前段时间突然发现可以找工信部投诉,结果没过两天移动就打电话找我了,马上派人来装了这个基站,投诉网址是http://www.chinatcc.gov.cn:8080/cms/shensus/,不过要求必须已经向运营商投诉过但不满意的,才可以在这里投诉

  20. 2014-10-08 23:19 | zylalx1 ( 路人 | Rank:14 漏洞数:2 | ……)

    @scanf 理论上如果把数据包丢掉的话,是可以当信号屏蔽器用的,但是发射功率不大,效果一般,只能屏蔽GSM信号,而且通过手机上的Field Test可以强行设置重选到别的基站(我用的是塞班,苹果安卓等不一定有这功能),这样就屏蔽不掉了,信号屏蔽器有专门的产品,大功率全频段扫描式干扰信号发射,比这个好使多了

  21. 2014-10-08 23:48 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    嗯嗯,不错@zylalx1 我就说,我们学校有屏蔽器,有信号不能上网,打电话,我们也是客户。(我是不是找抽).不知道某宝有卖没有.

  22. 2014-10-09 00:09 | zylalx1 ( 路人 | Rank:14 漏洞数:2 | ……)

    @scanf 有专用信号屏蔽器的话,装基站也没用,直接被干扰信号覆盖了。这基站外面肯定是没有卖的,只有运营商那才有,听安装那人说,北京移动一共也才有几百个,现在用的人估计也不多

  23. 2014-11-01 08:28 | Coffee ( 普通白帽子 | Rank:144 漏洞数:15 | Corie, a student of RDFZ.)

    这是骁哥?威武。@zylalx1

  24. 2014-11-01 17:39 | zylalx1 ( 路人 | Rank:14 漏洞数:2 | ……)

    @Coffee 只是来混个账号……本来想再搞点mod固件一类的,但是这个基站用的VxWorks系统,不会弄

  25. 2015-01-05 13:15 | 小卖部部长 ( 路人 | Rank:24 漏洞数:3 | 别拿部长不当干部!)

    终于看到原文了。。。牛X

  26. 2015-01-06 11:06 | BMa ( 普通白帽子 | Rank:1776 漏洞数:200 )

    从硬件到软件、再到WEB,没一个是安全的

  27. 2015-01-06 21:13 | Mxx ( 路人 | Rank:0 漏洞数:2 | 没有)

    吊。

  28. 2015-06-20 15:22 | 小杨 ( 路人 | Rank:22 漏洞数:4 | 。)

    mark