当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0148340

漏洞标题:智能设备安全之控制全国消费终端电子信息互动屏(控制开机/关机/广告/视频/字幕/推广图等)

相关厂商:cncert国家互联网应急中心

漏洞作者: xfkxfk

提交时间:2015-10-21 14:34

修复时间:2016-01-21 11:00

公开时间:2016-01-21 11:00

漏洞类型:权限控制绕过

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-21: 细节已通知厂商并且等待厂商处理中
2015-10-23: 厂商已经确认,细节仅向厂商公开
2015-10-26: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2015-12-17: 细节向核心白帽子及相关领域专家公开
2015-12-27: 细节向普通白帽子公开
2016-01-06: 细节向实习白帽子公开
2016-01-21: 细节向公众公开

简要描述:

中国消费终端联播网——电子信息互动屏
可控制全国所有终端电子信息互动屏,可以开关机,重启,修改增加图片广告,播放视频,滚动文字等,正好公司附近饭店就有一台,蹲点测试。
顺便祝大家重阳节快乐!

详细说明:

具体设备详情如下介绍:
http://**.**.**.**/html/netproject.html?id=1
正好某天吃饭在饭店大厅看到这个,上面跑了一个Android系统,随便点了几下
然后有密码,登陆不进去,但是看到了它与服务器通信的地址,但是修改不了,需要密码
然后回来就研究了一番,发现如下影响很大的问题
首先从官方开始,了解了下这个产品
然后从终端与服务器通信地址开始下手,发现如下问题:
http://**.**.**.**/ADVPLAYLIST12/

1.png


http://**.**.**.**/ADVSEVER12/

2.png


http://**.**.**.**/NewForIF/

3.png


很多列目录的问题,各种信息泄露,如web service请求的验证token

3-1.png


然后仔细翻了一遍,下载了几个压缩包
里面有东方天呈巡查系统和东方天呈广告投放系统
先从东方天呈巡查系统入手

4.png


然后需要登录账号,试了一些弱口令都无果
然后找工具看了下源码中对登录验证的过程,如下:

5.png


看源码中是从接受的参数中得到用户名和密码
然后到云端服务器进行账户验证,如果验证成功后,返回的第一个参数为1,第二个参数为用户userid,如果记住密码的话就会把用户名密码写到config.ini文件中
然后如果第一个参数为1即代表登录验证成功,然后查询userid对应的权限,最后登录进入巡查系统
如这里我们输入错误的用户名密码

6.png


然后修改返回后的信息:

7.png


最后即可登录成功,进入系统了
这个系统里面有很多功能,包括用户管理,用户权限管理,设备管理,设备定位,设备故障管理,云端网站后台管理等
这是设备列表,可以列出全国各地的终端
还可以对终端进行操作,关机,重启,截屏等操作
全国各地全部加起来的终端数量应该有5000+台,下面为直辖市的全部终端列表

8.png


还可以对所以终端设备进行定位,如四川成都的部分设备

9.png


下面为对用户及权限的操作:

10.png


在菜单栏中的网站系统里面,有三个系统:
餐饮企业内部管理系统——使用设备的企业自己的管理后台
地址:http://**.**.**.**:84/Login.aspx
餐饮企业后台管理系统——云端管理全国所有使用设备及注册过的企业
地址:http://**.**.**.**:86/Login.aspx
政府信息发布平台——政府部分发布推广及公告信息的系统
地址:http://**.**.**.**:85/Login.aspx
从巡查系统中添加一个用户,然后即可登录餐饮企业后台管理系统
http://**.**.**.**:86/Login.aspx

11.png


后台可以看到,到目前为止全国一共有5081台设备
然后随便选择一台设备,即可进行操作,先来重置密码,重置后的密码为弱口令123456
下来再来登录餐饮企业内部管理系统
http://**.**.**.**:84/Login.aspx
利用我们重置的某家餐饮企业密码,成功登录内部管理系统

12.png


可以在这里对自家设备进行管理,投放公告,推广图片,宣传图片,广告到设备上等操作
至于政府信息发布平台,因为没有找到账号没有登录
下面来看看前面提到的东方天呈广告投放系统

13.png


也是需要账户才能登录的,而且登录验证过程跟巡查系统一样

13-1.png


但是这里返回的登录验证数据太对,没办法全部构造全,及时登录成功但是会导致权限丢失
可喜的是在压缩包里面有config.ini文件,里面已经记录了正确的用户名和加密后的密码

14.png


我们在登录时修改掉密码接口成功登录

15.png


下面为用户及权限管理

16.png


下面才是此系统的重点,可以查看到全国所有终端设备上已经投放的广告
而且这里还可以自定义广告投放

17.png


可以随便查看全国任意一台设备上现在播放的广告内容,如苏福记酒店的广告内容:

18.png


下屏有两个广告
然后我们来给苏福记酒店的终端设备增加一个广告
今天正好重阳节,就加一个应景的广告吧

19.png


这里可以选择广告在设备上的位置,播放时间,广告类型可为图片和视频,还可以选择我们增加的广告在那一台终端机上跑,我们这里选择苏福记酒店(因为他离我进,我可以去看广告是否生效)
(解释一下,这个终端设备有三个屏幕,上面是一个广告屏,中间是一个系统操作屏,也可以展示企业自己的推广内容,还有一个下屏,这个最大,是大部分的广告播放屏幕)
现在再来看我们投放的广告是否加入到了苏福记酒店的终端广告列表中:

20.png


可见,广告已经成功加入到了播放列表中
剩下的就是去终端机上看看是否成功播放了(当然我们是真的去看了)
上面我们只在下屏投放了广告,而且只有管理员才能投放
其实上面我们有讲到餐饮企业内部管理系统中,企业可以自行修改自己的终端机上的内容
这里存在越权操作,企业可以改任何其他企业在中屏的推广广告
如这里我在苏福记酒店的终端机上加了一个中屏广告

21.png


这里可以进行删除和编辑,在编辑时,我们可以编辑其他企业的终端机上的中屏广告
如苏福记酒店的中屏广告为1185,我可以直接修改1183的其他终端机上的广告

22.png


到现在为止,我们已经给苏福记酒店投放了下屏的图片广告和中屏的图片广告
然后我们去苏福记酒店看看效果
。。。。。。(一个小时过去了)
效果杠杠的,上图:

23.png


喜庆的重阳节广告图片已经在中屏和下屏播放了。。。
其实我们看到的巡查和广告投放系统,根本不需要登录即可直接发送操作请求
因为第一步里面已经泄露token,而且登录后是没有跟新这个token的
所以在所有的请求中没有验证登录状态,直接发送请求即可

漏洞证明:

23.png

修复方案:

加固服务器配置
巡查和广告投放系统代码加密处理
验证所以请求的登录状态
加强不同用户间的权限控制

版权声明:转载请注明来源 xfkxfk@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-10-23 10:58

厂商回复:

CNVD确认所述漏洞情况,暂未建立与网站管理单位的直接处置渠道,待认领。

最新状态:

暂无


漏洞评价:

评价

  1. 2015-10-21 14:39 | DloveJ ( 普通白帽子 | Rank:1184 漏洞数:212 | Web安全测试培训 QQ269787775)

    沙发 伸伸腿

  2. 2015-10-21 14:40 | missy ( 普通白帽子 | Rank:816 漏洞数:219 | .....-3-3-3-3-3-3-3-3-3-3-3-3-3)

    师傅好666

  3. 2015-10-21 14:46 | Hckmaple ( 实习白帽子 | Rank:84 漏洞数:23 | ~~~)

    前排占座

  4. 2015-10-21 14:46 | HackBraid 认证白帽子 ( 核心白帽子 | Rank:1837 漏洞数:291 | HackBraid昵称的由来是一款名为Braid的游戏...)

    师傅带我~

  5. 2015-10-21 14:53 | 蓝天 ( 普通白帽子 | Rank:369 漏洞数:87 | 互联网上拾破烂的胖子)

    6666666666

  6. 2015-10-21 15:23 | Format_smile ( 普通白帽子 | Rank:296 漏洞数:112 | ···孰能无过,谁是谁非!)

    前排

  7. 2015-10-21 15:27 | 大漠長河 ( 实习白帽子 | Rank:66 漏洞数:10 | ̷̸̨̀͒̏̃ͦ̈́̾( 天龙源景区枫叶正...)

    还有这设备

  8. 2015-10-21 23:41 | 草丛基佬 ( 路人 | Rank:1 漏洞数:1 | 哟哟哟哟哟哟)

    大神

  9. 2015-10-21 23:45 | 梧桐树下 ( 普通白帽子 | Rank:502 漏洞数:83 | 一大波洞正在过来……)

    马克,牛的不要不要的

  10. 2015-10-21 23:58 | 带头大哥 ( 普通白帽子 | Rank:458 漏洞数:146 | |任意邮件伪造| |目录遍历| |任意文件读取|...)

    怪只怪我自己,死心塌地爱着你。到最后才明白,爱情有钱就可以!

  11. 2015-10-22 16:31 | yinian ( 实习白帽子 | Rank:71 漏洞数:24 | 一花一世界,一叶一菩提。)

    请收下我的膝盖

  12. 2015-10-22 19:25 | 明月影 ( 路人 | Rank:12 漏洞数:8 )

    又打雷了

  13. 2015-10-26 13:12 | 路人毛 ( 实习白帽子 | Rank:60 漏洞数:23 | ../)

    @Format_smile 活捉

  14. 2015-10-29 17:21 | scanf ( 核心白帽子 | Rank:1334 漏洞数:193 | 。)

    还有这种高科技