当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0134571

漏洞标题:对火车站免费WiFi的测试(整个网络沦陷\多个火车站中招\影响用户手机安全)

相关厂商:赛弗网络

漏洞作者: 默之

提交时间:2015-08-18 22:57

修复时间:2015-10-03 11:16

公开时间:2015-10-03 11:16

漏洞类型:命令执行

危害等级:高

自评Rank:12

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-18: 细节已通知厂商并且等待厂商处理中
2015-08-19: 厂商已经确认,细节仅向厂商公开
2015-08-29: 细节向核心白帽子及相关领域专家公开
2015-09-08: 细节向普通白帽子公开
2015-09-18: 细节向实习白帽子公开
2015-10-03: 细节向公众公开

简要描述:

仅仅是路过测试
还是写笔记方便

详细说明:

搜索发现已经有人提出来了,不过没有把问题扩大化,影响还是相当大的,希望重视一下
继上次在石家庄没有完成的测试之后,回到家里想了想,貌似北京西站那边也有air-station的WiFi热点,所以很期待路过北京西站的测试。如愿以偿,正好到北京办点事情,然后就早点去北京西站,找个没人的地方,开始了测试。

wifi证明.png


一、设计缺陷,导致任意号码登录(小漏洞)
连上无线网之后,浏览器打开默认的界面,随便瞎填写一些内容就行。,之后抓取响应包,修改响应包放行就好了。

短信验证.png


短信验证3.png


二、命令执行(很老的漏洞了。。。)
1. 跟上次一样,S16,很轻松就可以拿了shell,网站目录树如下

目录树.png


bjxz文件夹下都是这个公司的网站了
air_station_www-------www.surfo.cn(主站), www.air-station.cn
portaldata----------------portal.surfo.cn
webdata_admin-------- admin.air-station.cn
webdata------------------ http://www.zousifun.com/admin/cms/info_show.do?act=%E5%BF%83%E6%83%85%E9%A9%BF%E7%AB%99


另外发现,从主页的链接站到应用的地址,发现可以直接替换之

替换应用.png


替换应用1.png


2. 数据配置
数据库配置信息

<db_url>jdbc:mysql://192.168.1.200:3306/airstation_wifi?useUnicode=true&amp;characterEncoding=UTF-8</db_url>
<!-- 用户名 -->
<db_user>airstation</db_user>
<!-- 密码 -->
<db_password>air-station_20140918@#$*</db_password>


十个登录账户,总共四个较大的火车站点

密码.png


1.png


邮箱配置

<send>surfo_alarm@163.com</send>
		<!-- 发送邮件的邮箱的登陆帐号 -->
		<user>surfo_alarm@163.com</user>
		<!-- 发送邮件的邮箱的登陆密码 -->
		<password>surfo123</password>
		<!-- 发送邮件的邮箱的服务器 -->
		<smtphost>smtp.163.com</smtphost>


2.png


短信配置信息

#短信签名
sms_signed=\u3010\u7A7A\u4E2D\u8F66\u7AD9\u3011
alarm_mobile=15011588360,18612667588
#亿美短信配置
uri=http://sdkhttp.eucp.b2m.cn/sdk/SDKService?wsdl
softwareSerialNo=3SDK-EMY-0130-JDWQM
key=9*****
#通道开启标识,1开启,0关闭
emay_open =1
#0表示移动、联通和电信都发;1表示只发移动,2表示只发联通,3表示只发电信
emay_send_type =0
#烽火短信配置
fenghuo_uri=http://118.244.212.86:89/sendsms.asp?name=xiaolong&password=XiaoLong123
#通道开启标识,1开启,0关闭
fenghuo_open =1
#0表示移动、联通和电信都发;1表示只发移动,2表示只发联通,3表示只发电信
fenghuo_send_type =0
#发送优先级 前面优先级最高
send_level = fenghuo,zhangst,emay
#白名单
white_list =15011588360,18911690801
#掌上通短信配置
zhangst_uri=http://pi.noc.cn/SendSMS.aspx?MSGType=1&ECECCID=305706&Password=zsifa****
#通道开启标识,1开启,0关闭
zhangst_open =1
#0表示移动、联通和电信都发;1表示只发移动,2表示只发联通,3表示只发电信
zhangst_send_type=0
#内部使用短信地址(主要方便统计发送情况而进行统一处理)
sms_uri=http\://sms.zousifun.com/sms/sendsms.html?account\=zousifun&password\=zousifun_2014****
企信通登陆:http://118.244.212.86:89/
xiaolong / XiaoLong123


3.png


4.png


3. 对admin.zousifun.com的测试
配置数据库信息

<property name="connection.url">jdbc:mysql://192.168.1.200:3306/zousifunapp?useUnicode=true&amp;characterEncoding=UTF-8&amp;zeroDateTimeBehavior=convertToNull</property>
	<property name="connection.username">zousif*****</property>
	<property name="connection.password">app_zousifu*****^</property>


5.png


后台.png


经过测试,发现可以直接在后台替换应用程序
4. 最后提一下
找到这个网址

6.png


猜测密码023,真是这样。大牛已经来过了,为什么没有提交呢。。。另外发现其他的几个站点也有大马小马,各种,估计早被轮过了。

漏洞证明:

修复方案:

公共安全不容忽视

版权声明:转载请注明来源 默之@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-08-19 11:15

厂商回复:

CNVD确认所述情况,已由CNVD通过软件生产厂商(或网站管理方)公开联系渠道向其邮件(和电话)通报,由其后续提供解决方案并协调相关用户单位处置。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-08-18 18:47 | 进击的zjx ( 普通白帽子 | Rank:295 漏洞数:63 | 工作需要,暂别一段时间)

    路过看看

  2. 2015-08-19 11:30 | lufsy ( 路人 | Rank:11 漏洞数:3 | 自由,分享,共进)

    路过mark

  3. 2015-09-22 18:20 | 行侠 ( 路人 | Rank:2 漏洞数:2 | 健康每一天)

    话说你专搞火车站吗?要是有一天我看到站内有个小伙子抱着笔记本低着头在哪鼓捣着,悄悄地走过去大声说举起手来!双手背后,键盘不能碰!黑帽子!!!!!!

  4. 2015-09-22 20:11 | 默之 ( 普通白帽子 | Rank:346 漏洞数:71 | 沉淀。)

    @行侠 只此两次,再也不做了-_-!