当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0140040

漏洞标题:奇葩方式进去广东省联通沃盟(可发短信给全省渠道或任意个人/实名制信息泄露/0元购机自己审核等)

相关厂商:中国联通

漏洞作者: 孔卡

提交时间:2015-09-12 09:54

修复时间:2015-10-29 23:14

公开时间:2015-10-29 23:14

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-12: 细节已通知厂商并且等待厂商处理中
2015-09-14: 厂商已经确认,细节仅向厂商公开
2015-09-24: 细节向核心白帽子及相关领域专家公开
2015-10-04: 细节向普通白帽子公开
2015-10-14: 细节向实习白帽子公开
2015-10-29: 细节向公众公开

简要描述:

广东联通的省级B2B渠道平台,奇葩设计逻辑导致直接最高权限登录后台,功能太强大了---表哥们给朵小云吧,中秋不发月饼只要云~~~废话不多说,开始了~~~

详细说明:

这部分主要说漏洞成因:
http://www.wom186.com/ 直接打开会发现,是一个账户密码登录页面,甚是恼人啊~~~~没办法,看能不能找回密码呢?

找回密码页面.png


发现admin账号存在,诶~~~要填验证码,试过4位的不行,那爆破还是算了,就算进去了也显得过程不好玩儿不是?
右键查看下源码,发现了点东西,贴出关键部分源码

<div class="form_div">
<form method="post" id="resetpwdForm">
<input type="hidden" id="userId" />
<input type="hidden" id="isValid" />
<input type="hidden" id="userType" />
<input type="hidden" id="groupDetailId" />
<input type="hidden" id="securityCodeToken" />
<div class="register">
<ul>
<li step="1" class="li" id="accountLi">
<b>※</b>
<div class="label">
帐号:
</div>
<div class="inputOuter">
<input id="account_val" class="inputStyle" type="text" name="userMap['account']"/>
</div>
<div id="account_msg" class="msg">

</div>
<br class="clear"/>
</li>
<li step="1" class="li" id="inputVcLi">
<b></b>
<div class="label">
验证码:
</div>
<div class="inputVcOuter">
<input type="text" class="inputVcStyle" id="inputVc" maxlength="5" />
</div>
<div class="left">
<a href="javascript:void(0);" id="change_code_img">
<img src="http://www.wom186.com/verification_code.jpg" height="39" width="80" />
</a>
</div>
<a class="btn2-main left" style="color: #157ABF;line-height: 40px;margin-left: 5px;" id="changeVcImg">看不清换一张</a>
<div id="inputVc_msg" class="msg"></div>
<br class="clear"/>
</li>
<li step="2" class="li" id="phoneLi" style="display: none;">
<b></b>
<div class="label">
手机号:
</div>
<div class="inputOuter">
<input id="phone_val" class="inputStyle" type="text" disabled="disabled"/>
</div>
<div id="phone_msg" class="msg">
</div>
<br class="clear"/>
</li>
<li step="2" class="li" id="msgVcCodeLi" style="display: none">
<b>※</b>
<div class="label">
验证码:
</div>
<div class="inputOuter">
<input id="msgVcCode" class="inputStyle" type="text" />
</div>
<div id="msgVcCode_msg" class="msg">

</div>
<br class="clear"/>
</li>
<li step="2" class="li" id="getVCBtnLi" style="display: none;padding-left: 120px;padding-top: 10px;height:30px;">
<div class="btn2" id="getVCBtn">
<div class="btn2-warp">
<div class="btn2-top left">&nbsp;</div>
<!-- <a class="btn2-main left">免费获取验证码</a> -->
<a style="text-decoration:none;" href="###" class="a_btn">免费获取验证码</a>
<br class="clear"/>
</div>
</div>
<span id="getVcTipSpan" style="display: none;">短信发送成功,重新发送(' + wait + ')</span>
<br class="clear"/>
</li>
<li step="3" class="li" id="newPasswordLi" style="display: none">
<b>※</b>
<div class="label">
新密码:
</div>
<div class="inputOuter">
<input id="newPassword" class="inputStyle" type="password" onselectstart="return false;"
ondragenter="return false;" autocomplete="off"
onpaste="return false;" />
</div>
<div id="newPassword_msg" class="msg">

</div>
<br class="clear"/>
</li>
<li step="3" class="li" id="repasswordLi" style="display: none">
<b>※</b>
<div class="label">
确认密码:
</div>
<div class="inputOuter">
<input id="repassword" class="inputStyle" type="password" onselectstart="return false;"
ondragenter="return false;" autocomplete="off"
onpaste="return false;" />
</div>
<div id="repassword_msg" class="msg">

</div>
<br class="clear"/>
</li>
<li>
<div class="textcenter">
<div class="btn2" id="nextstepbtn">
<div class="btn2-warp">
<div class="btn2-main button_ok button_ok_red">下一步</div>
</div>
</div>
</div>
</li>
</ul>
</div>


简单分析下就得出 重置密码分三步(上面的源码里叫作step1,2,3):
1. 输入账号
2. 填写收来的短信验证码
3.设置新密码
嗯,简直是废话~~~~那我们的目标是 step3!
再看看数据包,奇葩现象出现了,第一步填写要找回的账号admin后,自动发出了俩post包

两步发包.png


OK,亮点在第二个包

第二个包.png


userMap.step=1 userMap.pwd 又留空,结合上面的分析,这不就是第一步么,密码还是空的,再看下这个包对应的回包

奇葩包对应的回包.png


嗯,也是step1,送到repeater里,大胆的把userMap.step=1改为3,userMap.pwd给加上我们要设置的密码,奇迹出现了~~~~

改包的回包.png


重置成功! 账号 admin 密码 woaini@123 表哥们审核完后记得给这里mask一下哈

登录封面.png


登录后选地市平台专区这里进入,就是广东省全省的渠道了,国代那里授权还没统一,漏洞证明部分开始爆料~~~~

漏洞证明:

体育老师说写文章要首尾呼应,不能当标题党~~~~
0x01 官方身份任意发短信给全省渠道或者任意联通用户

广东所有网点都可以亲切互动了.png


1万多个营业网点都可以推送骚扰短信了,给任意用户发的话,编辑下资料,把用户信息加入到营业网点这里就好,或者直接抓包截断改下手机号也成。
0x02 实名制信息泄露(里面还包含SIM卡串号,结合峰会的4G卡复制,不知什么时候能实现直接串号复制)

网页实名.png


导成excel.png


excel看着方便点
0x03 0元购机自己审核

购买手机.png


这里直接可以下单购买手机了

手机卖多少管理说了算.png


手机卖多少咱说了算哈

手机利润价格,一元购买完全可以.png


其实这价差也可以接受哈,联通手机卖的不贵,嗯嗯。
0x04 其他一些信息

全省渠道.png


哇,这么多渠道~~~~

8600多支付信息.png


8600多条支付信息。。七七八八的信息好多,强大的后台~~~~~

修复方案:

逻辑讲清楚了,不在后台测试注入和getshell了 露点的问题够多了~~~~

版权声明:转载请注明来源 孔卡@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-09-14 23:12

厂商回复:

CNVD确认所述情况,已经转由CNCERT下发给广东分中心,由其后续协调网站管理单位处置。

最新状态:

暂无


漏洞评价:

评论