漏洞概要
关注数(24)
关注此漏洞
漏洞标题:我是如何测试全国联通校园通信平台服务器的(sms数据泄露可控制全国任意高校等短信收发)
提交时间:2015-04-19 20:59
修复时间:2015-06-06 11:06
公开时间:2015-06-06 11:06
漏洞类型:成功的入侵事件
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2015-04-19: 细节已通知厂商并且等待厂商处理中
2015-04-22: 厂商已经确认,细节仅向厂商公开
2015-05-02: 细节向核心白帽子及相关领域专家公开
2015-05-12: 细节向普通白帽子公开
2015-05-22: 细节向实习白帽子公开
2015-06-06: 细节向公众公开
简要描述:
审核君能否慷慨送一枚小小的闪电
详细说明:
首先看到了管理平台:
通过信息收集,猜解出了北京联合大学应用文理学院的账号和密码
顺利登陆:
访问组织机构上传URL:
经过测试,首先会对文件内容进行过滤控制,然后控制扩展名规则
逻辑简洁如下,拿asp来举例:
片段1:
片段2:
可以看到
风险控制规则如果匹配了图片的特征,则不判断后缀直接进行上传,否则进行后缀的过滤
图片展示:
首先直接复制了一个一句话webshell,改名为qq.asp,上传失败
于是合成了一个图片的webshell用做测试,后缀依然为asp,可以看到上传成功:
shell的地址:
密码pass
方便审核管理员复现
找到数据库敏感信息:
连接数据库,可以获得所有的manager信息
部分使用该平台的单位和高校:
可控制全国任意旗下政府机关、高校、企业等短信收发
发给自己短信测试:
在平台也可以自定义添加自己的号码数据库,自定义短信条数和数额,来免费发送短信给他人
另外该数据库和校园一卡通绑定,危害很大,并有金钱漏洞可钻
202.108.49.1/24 段均为联通IP段,可进一步内网测试,这里不带有目的的测试,故不继续进行。
漏洞证明:
首先看到了管理平台:
通过信息收集,猜解出了北京联合大学应用文理学院的账号和密码
顺利登陆:
访问组织机构上传URL:
经过测试,首先会对文件内容进行过滤控制,然后控制扩展名规则
逻辑简洁如下,拿asp来举例:
片段1:
片段2:
可以看到
风险控制规则如果匹配了图片的特征,则不判断后缀直接进行上传,否则进行后缀的过滤
图片展示:
首先直接复制了一个一句话webshell,改名为qq.asp,上传失败
于是合成了一个图片的webshell用做测试,后缀依然为asp,可以看到上传成功:
shell的地址:
http://202.108.49.130/xppic/yywlpic.asp 密码pass
方便审核管理员复现
找到数据库敏感信息:
CONNSTRQ="Driver={SQL Server};Server=202.108.49.131,15002;Database=dxlt;Uid=webuser;Pwd=qaz*()p[]9083;"
CONNSTR="Driver={SQL Server};Server=202.108.49.131,15002;Database=SunTechRun;Uid=webuser;Pwd=qaz*()p[]9083;"
CONNSTR2="Driver={SQL Server};Server=202.108.49.131,15002;Database=SunTechHis;Uid=webuser;Pwd=qaz*()p[]9083;"
连接数据库,可以获得所有的manager信息
部分使用该平台的单位和高校:
可控制全国任意旗下政府机关、高校、企业等短信收发
发给自己短信测试:
在平台也可以自定义添加自己的号码数据库,自定义短信条数和数额,来免费发送短信给他人
另外该数据库和校园一卡通绑定,危害很大,并有金钱漏洞可钻
202.108.49.1/24 段均为联通IP段,可进一步内网测试,这里不带有目的的测试,故不继续进行。
修复方案:
版权声明:转载请注明来源 黑暗游侠@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:12
确认时间:2015-04-22 11:04
厂商回复:
CNVD确认并复现所述情况,已经转由CNCERT向中国联通通报,由其后续协调网站管理部门处置.
最新状态:
暂无
漏洞评价:
评论
-
2015-04-19 21:18 |
黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)
-
2015-04-19 21:20 |
黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)
最后一张图贴错了,应该是给自己发短信的测试截图,我贴错了,麻烦设置待补充,我补充下
-
2015-04-19 21:53 |
Ano_Tom ( 普通白帽子 | Rank:368 漏洞数:40 | Talk is cheap.:)
-
2015-04-19 22:13 |
scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)
-
2015-04-19 23:46 |
明月影 ( 路人 | Rank:12 漏洞数:8 | 学姿势,学思路。)
-
2015-04-19 23:55 |
ssss ( 实习白帽子 | Rank:80 漏洞数:19 | 虫子是给早起的勤奋的鸟儿七的。)
-
2015-04-20 08:18 |
黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)
@ssss @明月影 贴错图了,贴成黄图了。。。55555
-
2015-04-20 08:59 |
小白喵咪 ( 路人 | Rank:10 漏洞数:1 | IT小刁刁 未成年白客!)
-
2015-04-20 10:15 |
Ano_Tom ( 普通白帽子 | Rank:368 漏洞数:40 | Talk is cheap.:)
-
2015-04-20 10:25 |
黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)
@Ano_Tom 你这种人除了会ba一个umail未授权的问题分成好几个放大去提交你还会干什么?别哭。
-
2015-04-20 10:37 |
Ano_Tom ( 普通白帽子 | Rank:368 漏洞数:40 | Talk is cheap.:)
@黑暗游侠 哪里未授权了,脑残。你他妈的发个贴讨论讨论来,可以喊管理来。别尼玛得瞎喷,有病
-
2015-04-20 10:49 |
黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)
@Ano_Tom 素质在哪呢,笑哭了,自己看看你发的,拿默认的system账户这一个问题,硬是生搬硬套了好几个,还有模有样,回复敢捡起你的素质么?/偷笑
-
2015-04-20 11:00 |
Ano_Tom ( 普通白帽子 | Rank:368 漏洞数:40 | Talk is cheap.:)
@黑暗游侠 看不懂我发的漏洞就说看不懂,你这种智障连喷点都找不到就一个劲瞎喷。呵呵
-
2015-04-20 11:02 |
Ano_Tom ( 普通白帽子 | Rank:368 漏洞数:40 | Talk is cheap.:)
@黑暗游侠 你tm连system是干啥用的都没搞清楚,也是醉了
-
2015-04-20 11:23 |
黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)
@Ano_Tom 别哭,加油,没了system你一样能活
-
2015-04-20 11:25 |
Ano_Tom ( 普通白帽子 | Rank:368 漏洞数:40 | Talk is cheap.:)
-
2015-04-20 11:39 |
sin ( 实习白帽子 | Rank:38 漏洞数:2 | 寻找最优雅的解决方案)
-
2015-04-20 11:41 |
黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)
-
2015-04-20 11:45 |
Ano_Tom ( 普通白帽子 | Rank:368 漏洞数:40 | Talk is cheap.:)
-
2015-04-20 12:58 |
黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)
@Ano_Tom 不不不,对于你,我根本不想关注你
-
2015-04-20 13:50 |
Ano_Tom ( 普通白帽子 | Rank:368 漏洞数:40 | Talk is cheap.:)
-
2015-04-27 00:32 |
明月影 ( 路人 | Rank:12 漏洞数:8 | 学姿势,学思路。)
