当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0132382

漏洞标题:中国电信网厅核心业务系统沦陷/可漫游机房/海量用户

相关厂商:中国电信

漏洞作者: 小饼仔

提交时间:2015-08-07 15:10

修复时间:2015-09-25 13:56

公开时间:2015-09-25 13:56

漏洞类型:后台弱口令

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-07: 细节已通知厂商并且等待厂商处理中
2015-08-11: 厂商已经确认,细节仅向厂商公开
2015-08-21: 细节向核心白帽子及相关领域专家公开
2015-08-31: 细节向普通白帽子公开
2015-09-10: 细节向实习白帽子公开
2015-09-25: 细节向公众公开

简要描述:

中国电信2015年6月份运营数据,用户总数达1.9144亿
哎 打雷咯

详细说明:

1. 起因
之前发现过一个中国电信的系统,利用某种方式获取到一个账号,成功登陆,发现存在任意文件上传,无限制,直接拿了shell,接着看了看机器上面有什么东西,发现了还部署了其他几个系统,有外网域名,顺手都留了个shell(貌似有点无耻)。接着提了下权,看了看数据库配置、.bash_history等等。扫了下内网22端口,发现同一网段的主机还挺多,用之前搜集到的信息爆了下ssh,成功登陆几台。后来因为时间原因,渗透就没继续,直接提交了wooyun,结果提交的时候,这个系统被厂商部署到另一个网段的机器上去了,且和之前的不能ping通,最后给了个中危
2. 经过
某周末闲来无事,翻开我那小记事本,找到了前面提到的其他系统留的shell,继续看看有什么可以挖的,然后尝试各种方法渗透,同一网段有很多系统,感觉看名字都比较重要,找了下是否有注入等漏洞,大多无果或不好利用,哎
3. 转折点
有点不甘心,静下心来仔细再回顾了下已经发现的信息,找一下是否有遗漏的点。突然脑子一转,发现了机器上有装zabbix client,估计有戏,看了下配置文件,找到zabbix server的ip。挂上代理访问了下,需要账号密码,尝试弱口令,成功登陆管理员账号,里面各网段的机器一览无遗,算了下,有300+的机器```。常言道,不拿shell的漏洞不是好漏洞~,搜了下,发现zabbix里可以执行命令,whoami下,居然是root权限。果断直接添加用户,ssh登陆。
4.高潮
zabbix弱口令登陆,命令执行成功,拿了shell。本以为可以结束了,结果···,发现了上面有svn,然后打开一看,心脏不好,居然有电信189网上营业厅各核心业务系统前后台的开发代码和线上代码,还有各种文档,内容包括测试机和线上机器的root账号密码,各个系统的功能说明,和所部署的机器说明,还有办公网信息等等,内容详细到你无法直视的···。
5. 危害
有了这些信息,整个189网上营业厅基本上等于沦陷了。而且用户量近2亿,影响不言而喻。下面列举一些比较典型的危害
* 不需要登陆,后台直接查询某个号码的机主信息(姓名、住址、身份证号等),通话和短信记录(只有拨打记录和发送记录,没有内容,小部分省市未测试成功)
* 不需要登陆办理各种业务
* 查看网上营业厅所有订单信息
....
只要网上营业厅能做的,基本应该都可以(时间原因未一一测试),毕竟代码文档都有
6. 声明
这里说明一下,之后的测试仅仅是为了证明问题,没有做任何破坏,下载的代码和文档已经删除,切勿查水表。

漏洞证明:

因为信息比较敏感,已尽量打码,需要密码等相关信息复现的,可留言
ps. 电信的运维和开发看到图片应该就知道是什么了
shell地址,密码这里不贴了

http://wt.10006.info/report/bbgl_fans_jy_.jsp


利用内网代理,访问zabbix server

http://172.16.*.*/zabbix/


账号密码这里不贴了,成功登陆
300+台机器

1_副本.png


2_副本.png


2_副本.png


zabbix拿shell参考
WooYun: sohu的zabbix,可导致内网渗透
因为whoami显示root,这里直接添加了个root权限用户
ssh登陆

4_副本.png


看下svn里面的东西
svn有两个目录,里面有
* 各核心业务系统的测试和线上代码
* 线上机器和测试机器的root密码
* 办公系统相关资料
* 自动化测试相关资料
* 等等
PS.svn账号密码会明文存储在~/.subversion/auth/svn.simple目录下
第一个/app/svnbushuzu 这里放了开发和线上机器的账号密码,和各系统部署说明文档等

5_副本.png


下面列一下两个非常重要的文档
主机账号及密码:各主机的账号密码(包括root)

7_副本.png

8_副本.png

9_副本.png

10_副本.png


系统一览表:介绍每个业务部署在哪台机器上

12_副本.png

13_副本.png

14_副本.png

15_副本.png

16_副本.png

17_副本.png

18_副本.png


第二个 /app/svngolive 这里放的是各核心业务系统的代码

6_副本.png


还有一些办公系统的,这里就不贴了
到这里,基本可以控制整个电信网厅核心业务和系统了。
危害证明
1. 查全国任意电信手机号机主信息
上海电信号 13311678888

sh.png


北京电信号 18910777890

bj.png


湖南电信号 18975899898

HN.png


2. 查通话记录(少部分省市未成功)
号码和记录都已打码
甘肃电信号

GS.png


浙江电信号

ZJ.png


江西电信号

jx.jpg


其他的功能,因为有可能会影响业务和用户使用,这里已经证明了危害,就不再深入测试了

修复方案:

突破口在弱口令

版权声明:转载请注明来源 小饼仔@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2015-08-11 13:55

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向中国电信集团公司通报,由其后续协调网站管理部门处置.

最新状态:

暂无


漏洞评价:

评论

  1. 2015-08-07 15:11 | 旧时人 ° ( 路人 | Rank:20 漏洞数:8 | 我将扼住命运的咽喉,它绝不能使我屈服!Bl...)

    沙发~

  2. 2015-08-07 15:11 | 旧时人 ° ( 路人 | Rank:20 漏洞数:8 | 我将扼住命运的咽喉,它绝不能使我屈服!Bl...)

    板凳~

  3. 2015-08-07 15:19 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    拖把

  4. 2015-08-07 15:20 | Mieless ( 路人 | Rank:11 漏洞数:1 | 我是来打酱油的。)

    然而

  5. 2015-08-07 15:24 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    目测有闪电。。

  6. 2015-08-07 15:27 | wps2015 ( 普通白帽子 | Rank:426 漏洞数:60 | 不叫一日荒废)

    前排,爪子备好

  7. 2015-08-07 15:36 | 随风的风 ( 普通白帽子 | Rank:111 漏洞数:40 | 心若没有栖息的地方,走到哪里都是在流浪。)

    前排瓜子花生啤酒。。。出售小广告

  8. 2015-08-07 16:08 | 牛 小 帅 ( 普通白帽子 | Rank:363 漏洞数:84 | [code]心若没有栖息的地方,走到哪里都是在...)

    目测会下雨

  9. 2015-08-07 16:10 | xss.whale ( 路人 | Rank:0 漏洞数:1 | 默默的看着大家牛逼。。。。)

    目测会火,留个名。

  10. 2015-08-07 16:18 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    标题又被改了。。看来没亿级 啊。。

  11. 2015-08-07 16:51 | cncert国家互联网应急中心(乌云厂商)

    请白帽子后续提供测试入口(第一步)的相关信息,CNVD已经转报中国电信集团公司,对方高度重视,商请发送详情至vreport@cert.org.cn,以便中国电信集团公司完整修复.

  12. 2015-08-07 19:04 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    @超威蓝猫 最近到哪发财去了

  13. 2015-08-07 19:17 | 超威蓝猫 ( 核心白帽子 | Rank:1092 漏洞数:117 | STEAM_0:0:55968383)

    @scanf 这个不是我发的._.

  14. 2015-08-07 19:20 | 从容 ( 普通白帽子 | Rank:221 漏洞数:75 | Enjoy Hacking Just Because It's Fun :) ...)

    最近雷雨天气啊

  15. 2015-08-07 19:38 | 泰迪 ( 路人 | Rank:10 漏洞数:1 | 我想知道这个以后还能改么)

    膜拜洞主啊

  16. 2015-08-07 23:31 | 几何黑店 ( 核心白帽子 | Rank:1527 漏洞数:231 | 我要低调点儿.......)

    @超威蓝猫 不是你,那就是@机器猫 反正就你们两个了

  17. 2015-08-08 00:04 | 机器猫 ( 普通白帽子 | Rank:1141 漏洞数:253 | 爱生活、爱腾讯、爱网络!)

    @几何黑店 不是我

  18. 2015-08-08 00:36 | 泰迪 ( 路人 | Rank:10 漏洞数:1 | 我想知道这个以后还能改么)

    知道是谁啦,已查水表~~就不@了。。

  19. 2015-08-10 13:36 | 小饼仔 ( 普通白帽子 | Rank:363 漏洞数:48 | 不告诉你)

    @泰迪 水表查对了吗?

  20. 2015-08-11 12:57 | 泰迪 ( 路人 | Rank:10 漏洞数:1 | 我想知道这个以后还能改么)

    @小饼仔 。。。。。怎么可能查到==!

  21. 2015-09-25 15:00 | sql小神 ( 路人 | Rank:19 漏洞数:4 | 有些漏洞可以提,有些漏洞不可以提。)

    全国的中国电信,都被哎。。。。。真羡慕你们这些大牛

  22. 2015-09-25 18:39 | DC3 ( 普通白帽子 | Rank:168 漏洞数:21 | 乌云装逼达人)

    shell还在..