当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-079756

漏洞标题:BrigeOS小区带宽OA系统几个漏洞

相关厂商:BrigeOS

漏洞作者: piaoye

提交时间:2014-10-17 18:11

修复时间:2015-01-15 18:12

公开时间:2015-01-15 18:12

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-10-17: 细节已通知厂商并且等待厂商处理中
2014-10-20: 厂商已经确认,细节仅向厂商公开
2014-10-23: 细节向第三方安全合作伙伴开放
2014-12-14: 细节向核心白帽子及相关领域专家公开
2014-12-24: 细节向普通白帽子公开
2015-01-03: 细节向实习白帽子公开
2015-01-15: 细节向公众公开

简要描述:

跟前面俩人提交的可能不一样。。这个系统使用的范围比较广泛 暂没特征 但通过其他数据可以了解到

详细说明:

WooYun: 盈捷万通 BridgeOS MongoDB 配置不当 (可能会影响到一批小ISP) 很早就有白帽子发过。。但搜索引擎检索的不是很多。。
WooYun: 北京某小区宽带OA系统监控信息泄露(涉及用户cookies)
WooYun: 北京某小区宽带OA系统监控信息泄露(涉及用户cookies)
这个平台有个日志查看网监功能 在8080口 默认密码admin 也可以通过下面的方法创建Id_user 绕过验证

QQ截图20141017154355.jpg


MongoDB这个我就不说了,我们看这个平台的问题,通过一些方法得到了这平台源码
登陆页面login.php

$sql_select = "select * from staff where name='".$user_name."' and password='".$user_password."'";
$dataset = yjwt_mysql_select($sql_select);
//echo "$sql_select";
if($dataset && $row = mysql_fetch_array($dataset)){
setcookie("php_user", $row["flag"], time()+1800);//半小时,这个语句必需要html这前 //这俩行是神设置
setcookie("Id_user", $row["Id"], time()+1800);

验证成功后写入浏览器cookie
在看看fun.php全局验证

longer_cookie('php_user');
longer_cookie('Id_user');
if ($_GET['t'] == 'exit') {
echo "<script>";
echo "alert('请重新登陆!');";
echo "window.location.href = '?t=login';";
echo "</script>";
}
if ($_GET['t'] == '') {
echo "<script>";
echo "window.location.href = '?t=getid';";
echo "</script>";
}

可见确实是通过cookie验证登陆的。。这个伪造下就行了

x


现在可以进去了 在看看ram.php

<?
header("Content-type: application/txt");
header("Content-Disposition: attachment; filename=$_GET[name].txt");
readfile("$_GET[path]");
?>


神下载。。伪造raw.php?path=/etc/cfg.php&name=1.txt 即可下载数据库配置信息 以及服务器任意文件。。
在来看看ping.php

$to_ping = $_GET["ip"]; 
$count = 1;
$psize = 65;
exec("ping $to_ping -n $count -w 1", $list);
if($list[2] == "请求超时。") print "<div style=\"background-color:#999999;height:1000px;width:1000px;color:#ffffff;\">".$_GET["name"]."</div>";
else print "<div style=\"background-color:#00ff00;height:1000px;width:1000px;color:#ffffff;\">".$_GET["name"]."</div>";


执行啊。。。
省略一万行...其他的注射就不说了。。
这个系统BrigeOS 使用量其实比较大的 很多小区都在使用 一旦能登陆访问并且操作 将威胁整个小区的网络安全环境

漏洞证明:

我们在官方网站看看:
有个文档查询的
http://reg.bri-os.com:8080/php_center/cmd_help.php?mode=key
mode存在注射 然后顺利进入官方OA系统。。

xx


出现的一些数据比较丰富 包含网络拓扑图等等 其中的devid 应该是装有 BrigeOS 客户端 所以对应上面所说的使用量应该不小。。 完全是个宽带接入商

QQ截图20141017152912.jpg


QQ截图20141017152943.jpg


QQ截图20141017153032.jpg


然后在文件管理处 毫无悬念的拿下shell。。
官方的服务器ip为 125.39.155.32 通过搜索引擎得到http://www.im286.com/thread-10960888-1-1.html 发现这个宽带商会在用户浏览器加载广告。。
然后在服务器 /var/www/html/ 一些目录确实发现如上描述的脚本信息。。若被利用?没事给各个小区用户弹个窗啥的
再补上一张官方新版的BrigeOS 建议把小区那个升级到这个上面

QQ截图20141017154813.jpg


测试就到此为止

修复方案:

对系统平台进行升级修复 对ip进行限制访问 对官方各类漏洞进行处理。。。对用户上网信息不再监控。。。

版权声明:转载请注明来源 piaoye@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2014-10-20 13:56

厂商回复:

最新状态:

暂无


漏洞评价:

评论

  1. 2014-10-18 09:30 | piaoye ( 普通白帽子 | Rank:343 漏洞数:53 | ww)

    代码不全了?。。奇怪