当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0146079

漏洞标题:某省电信多个漏洞可导致省内大量摄像头被控制(涉及家庭卧室/公安/市政/医院/银行/企业等)

相关厂商:中国电信

漏洞作者: Drizzle.Risk

提交时间:2015-10-12 10:28

修复时间:2015-11-30 14:28

公开时间:2015-11-30 14:28

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-12: 细节已通知厂商并且等待厂商处理中
2015-10-16: 厂商已经确认,细节仅向厂商公开
2015-10-26: 细节向核心白帽子及相关领域专家公开
2015-11-05: 细节向普通白帽子公开
2015-11-15: 细节向实习白帽子公开
2015-11-30: 细节向公众公开

简要描述:

多个漏洞组合,导致电信的全球眼+天翼看家+天翼看店等业务全部沦陷。可以任意查看、控制全省摄像头,范围涉及公安系统、市政系统、金融、燃气、安监、危化品、学校、医院、家庭(客厅卧室)、大中小企业等,不负责保守估计可控制10W监控摄像头。

详细说明:

1.本来一开始想测试江苏的天翼看家:http://**.**.**.**/,但看了下没什么大的漏洞,就果断切换C段,然后找到这个服务器:**.**.**.**:8003/

貌似是废弃的管理平台.jpg


2.登陆口SQL注入漏洞:

登录口SQL注入.jpg


3.xp_cmdshell翻目录,写shell:

cmdshell找web目录写shell.jpg


4.翻东西:

翻翻东西.jpg


5.找各种配置文件,翻到了很多数据库连接字串:

webconfig.jpg


6.MSSQL、Oracle各种数据库,下图是Oracle的:

富有的Oracle.jpg


7.整合归纳各种数据后(花了很久的时间),找到了关键的几个数据库,包括所有监控摄像头的配置信息,用户信息等。
8.省公安厅摄像头组

省公安厅摄像头组.jpg


9.安邦、广电局、各种燃气、各种银行

安邦、广电局、燃气、银行.jpg


10.各地市电信机房摄像头组

电信机房摄像头组.jpg


11.公安危险品监控

公安危险品监控.jpg


12.各种派出所

各种派出所.jpg


13.气象局、人民政府、某局

气象局、人民政府、某局.jpg


14.各类医院的监控

医院类的监控.jpg


15.各类学校监控

学校摄像头组.jpg


学校类.jpg


16.超多小区公寓类的监控:

公寓类.jpg


17.市政、交通类的监控,数量也非常大:

市政类的监控.jpg


18.家庭类的(可以看客厅、卧室、厨房等,数量很多,属于天翼看家业务范畴)

全球眼+看家+看店用户库4.jpg


19.聚焦某银行的话,可以看到摄像头数量很多(都可以看):

某银行的摄像头组.jpg


20.再随机传几张(公安局指挥中心?!)

全球眼+看家+看店用户库.jpg


21.再随机传几张(国土局、各种大队)

全球眼+看家+看店用户库2.jpg


22.再随机传几张(网吧,幼儿园,派出所)

全球眼+看家+看店用户库3.jpg


************************继续向下看****************************
1.看到这里你可能会问,上面的摄像头、用户密码都是MD5,万一跑不出来怎么办?
2.下面祭出后续的漏洞(天翼看家业务)
3.任意密码重置漏洞,可篡改任意手机号接收短信(短信内含新密码),太简单,看图不多说

密码找回篡改手机号1.jpg


密码找回篡改手机号2.jpg


密码找回篡改手机号3.jpg


密码找回篡改手机号4.jpg


4.毕竟是监控类业务,电信还是挺重视的,所以加了个登录短信验证。
5.然后并没有什么卵用,可以用2个方法绕过:
5.1 方法一:短信验证时篡改接收短信手机号(太简单,看图不多说)

绕过登录短信验证.jpg


5.2 方法二:使用WAP登录,无需短信验证:

wap是没有短信验证的!.jpg


wap是没有短信验证的!2.jpg


************************继续向下看****************************
1.如果还不过瘾怎么办,附送两个碉堡的权限漏洞:
1.1 非登录状态下,篡改登录的请求包可获取任意账户手机号及operid(不管密码正确与否)

篡改数据包可获取任意账户手机号及operid.jpg


1.2 第二个权限漏洞就更碉堡了,摄像头的横向越权,你觉得能干嘛?篡改数据包可以获取其他任意用户所有摄像头信息和状态,获取完毕后,直接在页面上点击可以看摄像头(就算前面漏洞全部修补了,有这个漏洞,照样可以随意看视频)

篡改数据包可以获取其他任意用户所有摄像头信息和状态.jpg


************************继续向下看****************************
然后,就没有了。说了这么半天,一张监控的图都没有的话也太不负责任。
在此就附送一张测试时无意看到的图,手贱给截了,谨以此祭奠公民的隐私权(因为个人的隐私权,永远是重中之重):

呵呵.jpg


漏洞证明:

参考详细说明即可,故不在此赘述。

修复方案:

1.修复上文出现的多处漏洞和权限分配不合理问题。
2.最重要的是,对安全重视起来。
3.其他省份的没看,希望也能一并检查一下。

版权声明:转载请注明来源 Drizzle.Risk@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-10-16 14:27

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向中国电信集团公司通报,由其后续协调网站管理部门处置.

最新状态:

暂无

漏洞评价:

评论

  1. 2015-10-12 10:28 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    我就一直纳闷,他么的卧室装摄像头的都是什么初衷

  2. 2015-10-12 10:31 | 牛 小 帅 ( 普通白帽子 | Rank:521 漏洞数:125 | 茶凉了,就不要再续了,再续也不是原来的味...)

    @疯狗 我知道 ,窥探欲强的人

  3. 2015-10-12 10:36 | 高小厨 ( 普通白帽子 | Rank:846 漏洞数:77 | 不会吹牛的小二不是好厨子!)

    @疯狗 防火防盗防闺蜜,也可能防隔壁老王

  4. 2015-10-12 10:38 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @高小厨 @牛 小 帅 这个肯定是自家人才能装上的吧,很大一坨摄像头

  5. 2015-10-12 10:44 | JGHOOluwa ( 普通白帽子 | Rank:353 漏洞数:57 | 就是来看看大牛们如何超神的^-^)

    @疯狗 可能是租的房,房东怕把他墙蹭坏了,装个摄像头监控下~

  6. 2015-10-12 10:49 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @JGHOOluwa 合理的我竟无言以对……

  7. 2015-10-12 16:49 | Drizzle.Risk ( 普通白帽子 | Rank:265 漏洞数:20 | You have an error in your SQL syntax; ch...)

    @疯狗 办宽带送摄像头,新入网用户送看家业务,占便宜心态…话说运营商都是这样推广业务的,哈哈

  8. 2015-10-15 11:23 | Drizzle.Risk ( 普通白帽子 | Rank:265 漏洞数:20 | You have an error in your SQL syntax; ch...)

    要忽略的节奏?

  9. 2015-10-15 11:30 | JGHOOluwa ( 普通白帽子 | Rank:353 漏洞数:57 | 就是来看看大牛们如何超神的^-^)

    @Drizzle.Risk 我猜你的明天才确定,信不嘿嘿~~