漏洞概要
关注数(24)
关注此漏洞
漏洞标题:奇葩方式进去广东省联通沃盟(可发短信给全省渠道或任意个人/实名制信息泄露/0元购机自己审核等)
漏洞作者: 孔卡
提交时间:2015-09-12 09:54
修复时间:2015-10-29 23:14
公开时间:2015-10-29 23:14
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2015-09-12: 细节已通知厂商并且等待厂商处理中
2015-09-14: 厂商已经确认,细节仅向厂商公开
2015-09-24: 细节向核心白帽子及相关领域专家公开
2015-10-04: 细节向普通白帽子公开
2015-10-14: 细节向实习白帽子公开
2015-10-29: 细节向公众公开
简要描述:
广东联通的省级B2B渠道平台,奇葩设计逻辑导致直接最高权限登录后台,功能太强大了---表哥们给朵小云吧,中秋不发月饼只要云~~~废话不多说,开始了~~~
详细说明:
这部分主要说漏洞成因:
http://www.wom186.com/ 直接打开会发现,是一个账户密码登录页面,甚是恼人啊~~~~没办法,看能不能找回密码呢?
发现admin账号存在,诶~~~要填验证码,试过4位的不行,那爆破还是算了,就算进去了也显得过程不好玩儿不是?
右键查看下源码,发现了点东西,贴出关键部分源码
简单分析下就得出 重置密码分三步(上面的源码里叫作step1,2,3):
1. 输入账号
2. 填写收来的短信验证码
3.设置新密码
嗯,简直是废话~~~~那我们的目标是 step3!
再看看数据包,奇葩现象出现了,第一步填写要找回的账号admin后,自动发出了俩post包
OK,亮点在第二个包
userMap.step=1 userMap.pwd 又留空,结合上面的分析,这不就是第一步么,密码还是空的,再看下这个包对应的回包
嗯,也是step1,送到repeater里,大胆的把userMap.step=1改为3,userMap.pwd给加上我们要设置的密码,奇迹出现了~~~~
重置成功! 账号 admin 密码 woaini@123 表哥们审核完后记得给这里mask一下哈
登录后选地市平台专区这里进入,就是广东省全省的渠道了,国代那里授权还没统一,漏洞证明部分开始爆料~~~~
漏洞证明:
体育老师说写文章要首尾呼应,不能当标题党~~~~
0x01 官方身份任意发短信给全省渠道或者任意联通用户
1万多个营业网点都可以推送骚扰短信了,给任意用户发的话,编辑下资料,把用户信息加入到营业网点这里就好,或者直接抓包截断改下手机号也成。
0x02 实名制信息泄露(里面还包含SIM卡串号,结合峰会的4G卡复制,不知什么时候能实现直接串号复制)
excel看着方便点
0x03 0元购机自己审核
这里直接可以下单购买手机了
手机卖多少咱说了算哈
其实这价差也可以接受哈,联通手机卖的不贵,嗯嗯。
0x04 其他一些信息
哇,这么多渠道~~~~
8600多条支付信息。。七七八八的信息好多,强大的后台~~~~~
修复方案:
逻辑讲清楚了,不在后台测试注入和getshell了 露点的问题够多了~~~~
版权声明:转载请注明来源 孔卡@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2015-09-14 23:12
厂商回复:
CNVD确认所述情况,已经转由CNCERT下发给广东分中心,由其后续协调网站管理单位处置。
最新状态:
暂无
漏洞评价:
评论