当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-087462

漏洞标题:某网络电话云端漏洞可实现强制实现午夜惊魂

相关厂商:华夏亿信

漏洞作者: Arthur

提交时间:2014-12-17 09:11

修复时间:2015-03-17 09:12

公开时间:2015-03-17 09:12

漏洞类型:设计错误/逻辑缺陷

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-12-17: 细节已通知厂商并且等待厂商处理中
2014-12-22: 厂商已经确认,细节仅向厂商公开
2014-12-25: 细节向第三方安全合作伙伴开放
2015-02-15: 细节向核心白帽子及相关领域专家公开
2015-02-25: 细节向普通白帽子公开
2015-03-07: 细节向实习白帽子公开
2015-03-17: 细节向公众公开

简要描述:

随着科技的发展,相信以后网络电话也会成为一种交流的趋势。在这里给各位厂商打一个预防针。

详细说明:

今天测试的一款网络电话,叫做华夏亿信。朋友之前做过代理,说是与电信,联通,移动一起做的一个项目。(左下角那个APP,壁纸是我女友,不是我)

QQ截图20141216230337.jpg


官方网站:http://www.huaxiayixin.com/

漏洞证明:

打开这款网络电话之后,输入你注册的账号,验证之后随便选择一个联系人拨打电话。

3.jpg


这个时候进行抓包,抓到以下代码

1.jpg


其中a参数代表的是你自己的号码,b参数代表的是你拨打的号码。
比如说我通过这个APP拨打了一个电话给我女朋友,在发送完这段数据包之后,我的手机会接到一个匿名来电。在我接起这个匿名来电的时候,我女朋友就会接到我的电话。
原理(来自百度知道):网络电话原理:网关将PSTN和Internet/Intranet连接起来,网关一侧连接Internet,另一侧与PSTN相连。它能够把来自Internet网的网络包经过解包、解压缩后,经过数/模变换成模拟语音信号传送给PSTN;也能够把来自PSTN的电话语音信号经过模/数转换,压缩后打成适合在Internet中传送的网络包,送往Internet传输。用户使用通电话首先拨打网络电话网关的市话号码,然后类似于使用300卡智能网业务,输入账号和密码,网络网关对用户确认后,根据用户拨打的被叫用户的电话号码寻找一条最佳路由,连接到最接近被叫电话的网关,最后由该网关实现对被叫用户的呼叫,至此网络电话原理已经明了,两普通电话用户便可以经过Internet/Intranet进行通话。
那么我们是否可以这么构建?
场景模拟中。。。。。
某天,路人甲走在大街上,莫名其妙的110打电话过来了。
路人甲:你好,请问是要查水表吗?
110:不是你打我的号码吗?
路人甲:不是你自己打过来的吗?
110:........
在前几秒中,路人乙坐在电脑前,闲着无聊,打开了某款网络电话。拨打其中一位联系人时开始抓包,把A参数更改为110,同时又把B参数改为路人甲的手机号。然后110报警平台先接到路人甲的电话,同时路人甲也接到110的电话。乌龙事件就这么发生了。
如果你没有充值过这款网络电话,那么还好。如果充值过了,那么每分钟你都的通话都是要扣费的。
本人在实际测试中已经成功。但是女友的手机呼出去后我接收不到她的来电,原因是她没有在该网址注册过。
下面问题就来了,到底谁充值过这款网络电话?怎么强行帮他人注册?
没事,注入一下。
mysql账号和密码: 5fe7d2f975db63f2 | root
root权限,4个数据库完全访问。添加任意手机号没什么问题了。

Database: mysql
[17 tables]
+---------------------------------------+
| columns_priv |
| db |
| func |
| help_category |
| help_keyword |
| help_relation |
| help_topic |
| host |
| proc |
| procs_priv |
| tables_priv |
| time_zone |
| time_zone_leap_second |
| time_zone_name |
| time_zone_transition |
| time_zone_transition_type |
| user |
+---------------------------------------+
Database: information_schema
[17 tables]
+---------------------------------------+
| CHARACTER_SETS |
| COLLATIONS |
| COLLATION_CHARACTER_SET_APPLICABILITY |
| COLUMNS |
| COLUMN_PRIVILEGES |
| KEY_COLUMN_USAGE |
| PROFILING |
| ROUTINES |
| SCHEMATA |
| SCHEMA_PRIVILEGES |
| STATISTICS |
| TABLES |
| TABLE_CONSTRAINTS |
| TABLE_PRIVILEGES |
| TRIGGERS |
| USER_PRIVILEGES |
| VIEWS |
+---------------------------------------+
Database: astgodb
[102 tables]
+---------------------------------------+
| acct |
| acct_gatewaygroup |
| acct_ratepackage |
| acct_user |
| acct_user_consumerpackage |
| acct_user_periodrate |
| acct_user_ratepackage |
| accttype |
| agent_vouchercard |
| ast_log |
| ast_reload |
| astgo_login_try |
| astgo_urlmenu |
| btobtel |
| btobtellist |
| callback_bindtel |
| callback_book |
| calleegroup |
| calleelist |
| callergroup |
| callerlist |
| calllist |
| cbsubmit |
| cbsubmitex |
| cbsubmitex1 |
| cbsubmitivr |
| cc_authority |
| cc_blacklist |
| cc_brecord |
| cc_callerlist |
| cc_config |
| cc_customer |
| cc_customer_list |
| cc_ivr_call |
| cc_ivr_flow |
| cc_ivr_flowlist |
| cc_outcalltask |
| cc_sendsms |
| cc_sendsmstask |
| cc_sms |
| cc_submit_call |
| cc_submit_sms |
| cc_vocfiles |
| cdr201410 |
| cdr201411 |
| cdr201412 |
| click_call_submit |
| conference_call_submit |
| consumerpackage |
| consumerpackage_log |
| cost201410 |
| cost201411 |
| cost201412 |
| crm_businesstype |
| crm_cdr |
| crm_customer_information |
| crm_fax_revlist |
| crm_outcall_task |
| crm_userstate_log |
| crm_workorder |
| fax_outcall_task |
| fax_ratepackage |
| fax_timeline |
| gateway |
| gatewaygroup |
| gatewaygrouplist |
| gatewaypolicy |
| httpcallsubmit |
| inboundcode |
| inboundcodetype |
| mobileparycode |
| musiconhold |
| musiconhold_list |
| partcodes |
| pay_config |
| pay_softphone_list |
| paydirect |
| phone_imei |
| pub_config |
| queue_member_table |
| queue_table |
| rate |
| rategroup |
| rategrouplist |
| ratepackage |
| recommend_getfee |
| reg_getfee |
| sip_bindexten_buddies |
| sip_reg_error_count |
| sms_cdr |
| sms_send_submit |
| speeddial |
| syslog |
| tiffiles |
| trunkbill |
| trunkbillpartcodes |
| ttsfiles |
| version |
| voicefiles |
| vouchercard |
| vouchercard_ratepackage |
| voucherlog |
+---------------------------------------+

修复方案:

在网络电话服务端做好验证和防注入等等措施。
PS:送一封感谢信可好?

版权声明:转载请注明来源 Arthur@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2014-12-22 08:12

厂商回复:

CNVD确认所述情况(未直接复现),由CNVD向软件开发厂商公开邮箱通报.

最新状态:

暂无


漏洞评价:

评论

  1. 2014-12-17 09:42 | 玉林嘎 ( 普通白帽子 | Rank:758 漏洞数:96 )

    吓到我了,赔钱!

  2. 2014-12-17 12:38 | Arthur ( 实习白帽子 | Rank:77 漏洞数:33 | USA,I am coming!!!!!)

    小编....这个标题是不是有问题?读起来怪怪的.......

  3. 2015-01-04 15:33 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    你是来晒女友的吗

  4. 2015-03-17 10:24 | xxyyzz ( 实习白帽子 | Rank:57 漏洞数:6 | 123456)

    女朋友不错嘛,少年郎

  5. 2015-03-17 11:39 | 静默 ( 路人 | Rank:8 漏洞数:6 | 安全小白)

    看到洞主的女朋友的第一眼,我就决定,你这个朋友我交k定了

  6. 2015-03-17 17:25 | 有点小鸡冻 ( 路人 | Rank:12 漏洞数:8 )

    路人甲:你好,请问是要查水表吗?110:不是你打我的号码吗?路人甲:不是你自己打过来的吗?110:........110只有接入服务,没有主动拨出服务谢谢您的配合,请到公安局走一趟!

  7. 2015-03-19 11:46 | milan ( 普通白帽子 | Rank:129 漏洞数:32 | 妈妈说:搬不完砖就别回家。)

    你这个朋友我交定了