当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0148674

漏洞标题:中国电信网上营业厅逻辑漏洞可影响全用户详细个人信息/消费积分充话费/备份通讯录/绕过支付短信等(以某经纪人为例)

相关厂商:中国电信

漏洞作者: 李旭敏

提交时间:2015-10-23 13:35

修复时间:2015-12-11 16:58

公开时间:2015-12-11 16:58

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:13

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-23: 细节已通知厂商并且等待厂商处理中
2015-10-27: 厂商已经确认,细节仅向厂商公开
2015-11-06: 细节向核心白帽子及相关领域专家公开
2015-11-16: 细节向普通白帽子公开
2015-11-26: 细节向实习白帽子公开
2015-12-11: 细节向公众公开

简要描述:

内附上几位导演,大v,演员的号码测试。
罗永浩、宁浩、黄宏、韩红、蒋雯丽等等......

详细说明:

中国电信网上营业厅客户端app客户端
打开随便选择一个功能,选择登陆

F01EC8FE-F06F-4D97-8D4A-12AC52736878.png

登陆的时候的包,放掉,抓返回的包。

4599D199-6C1B-4C97-AEA5-8C2AE65EBA2B.png

返回来的包,拦截掉,然后修改为

b5720f816f50db5eb94116fd795b9f770f4af1f252692aa8c138f0e8150856db0b52b7c8000a7be699aabc4ab106f380f9e488a10e8269792beb5b46a667cdf32e20cf7649e74841dcfc49d871e100bda5b005efdca1abf6d8f95b802b6db01dc0bc44d9f75be7b899fcac6bf3674bff51429cb76f9ea218fa2bad0b88a6c6c80d9edbb96f284e26c08a514ffe89869973b1d297873df3042f7fed5cff21498279cee5c1521deab082083b21bbdbcdcb220296bf63016e23a7800ae70535cd97687bce15f61797d28dcc5b4ae76750b5


A3779A45-D587-494D-82FB-44064B16E576.png

这里有个小技巧,可以先在burp suite写好正则,自动替换登陆时候返回的数据包。
匹配正则写上

\w{463,464}$

,内容附上我们写的正确数据包(如上)
附上一位大v测试

QQ20151117-0@2x.png


{"CustID":"100013704336","CustName":"罗永浩","CertificateType":"1","CertificateCode":"

mask 区域
*****20709*****

","CustStatus":"","ProvinceCustID":"2010618438900000","CustCardNo":"","ExtendField":"7","ProvinceID":"01","AreaID":"010","UserAccount":"

mask 区域
*****967*****

","Integral":41832,"Voucher":0,"CustLevel":"2","Sex":"1","Birthday":"1972-07-09","AppCode":"KHD","ResponseDate":"20151023123739","Sign":"1126121bb0908b9b33030a4823b36948","ErrCode":"0000","ErrMsg":"认证成功!","UsableBonus":"","phone":"

mask 区域
*****967*****

","UserImg":"","isSign":"0"}

漏洞证明:

34E84543-4895-40B5-8240-3438FCCC43F9.png

登录以后访问积分商城的,发现会有这么一条数据get出去,里面是包含着身份证信息,和姓名的。还有其他一些不知道什么鬼的。
点击配送地址,抓包,可以看到返回信息里还是包含机主的地址信息。

B29179C7-77DD-4828-9CF3-6E10E64AB789.png

RSVK)`5K5MS9]3)9~3G%WN3.jpg


可以使用积分兑换来给兑换话费或者充值卡,

QQ20151117-1@2x.png


1167D9CC14E7B5CE70C4003CB3A5930B.jpg


10FFD5DB-F95B-41D1-80F0-63514A1CD1F6.png


和任意登录同理,支付时候修改2次返回包,第一次返回包附上以上提到的代码,第二次奖其中的0002改为0000即可成功支付无需发送验证码短信,附上充值话费成功截图

6E60627A-F2ED-4423-9C8D-2DEFD27132A7.png

修复方案:

|构造关键字,谷歌搜索site:**.**.**.** intext:工作联系 133|189|153|180|181

4E16A046-002D-4687-85C9-3E5DF820FC52.png


会发现不少明星或者经纪人会留下工作手机号,找到其中的电信号码,批量下载通讯录,相信整个娱乐圈的明星我都认识了。
例子1:《爱的秘笈》某主演经纪人手机号

DC862839-68CE-4C4D-A94E-C81642D76386.png


毕竟是二三线明星,认识的大碗有限。

8D8049DD9C4CADF65340EF0795ED87D7.jpg

A3CC5498CC3BB1B1598CDC3BB58CA003.jpg


mask 区域
*****67---*****
*****92---*****
*****-百合*****
*****---广*****
*****98---*****
*****56---*****
*****---彭*****
*****58---*****
*****86---*****
*****92---*****
*****89---*****
*****35---*****
*****47---*****
*****---严*****
*****49---*****
*****61---*****
*****33---*****
*****89---*****
*****-网络*****
*****---森*****
*****33---*****
*****39---*****
*****^^南卫*****
*****---严*****
*****-广州*****
*****---王*****
*****10---*****
*****-西城*****
*****69---*****
*****63---*****
*****-雅马*****
*****---沙*****
*****---小*****
*****21---*****
*****^^尚先*****
*****30---*****
*****---赵*****
*****77---*****
*****-乐视*****
*****---乔*****
*****---陈*****
*****29---*****
*****---刘*****
*****---石*****
*****20---*****
*****29---*****
*****81---*****
*****-万宝*****
*****18---*****
*****---王*****
*****---全*****
*****83---*****
*****38---*****
*****---张*****
*****---王*****
*****54---*****
*****56---*****
*****77---*****
*****-化妆*****
*****-依恋*****
*****53---*****
*****432---*****
*****00---*****
*****---朱*****
*****^^告策*****
*****72---*****
*****---何*****
*****56---*****
*****43---*****
*****-哈啤*****
*****43---*****
*****-创意*****
*****98---*****
*****05---*****
*****-刘雷*****
*****^^民周*****
*****---连*****
*****---宋*****
*****32---*****
*****81---*****
*****42---*****
*****---马*****
*****---高*****
*****-百合*****
*****---辛*****
*****70---*****
*****93---*****
*****---孙*****
*****---金*****
*****67---*****
*****10---*****
*****98---*****
*****---马*****
*****47---*****
*****---京*****
*****---胡*****
*****99---*****
*****---许*****
*****49---*****
*****---刘*****
*****36---*****
*****-赵海*****
*****-建行*****
*****---魏*****
*****---郑*****
*****46---*****
*****25---*****
*****21---*****
*****---王*****
*****77---*****
*****---陈*****
*****00---*****
*****---高*****
*****-服装*****
*****06---*****
*****-化妆*****
*****-京东*****
*****88---*****
*****79---*****
*****---夏*****
*****70---*****
*****---范*****
*****-赵昱*****
*****---曹*****
*****-乐视*****
*****---房*****
*****---高*****
*****---郝*****
*****65---*****
*****-摄影*****
*****-大连*****
*****---张*****
*****---蒋*****
*****-小谢*****
*****---小*****
*****38---*****
*****-日威*****
*****54---^*****
*****---森*****
*****-新民*****
*****---赵*****
*****65---*****
*****27---*****
*****---成*****
*****---常*****
*****---万*****
*****---杨*****
*****---黄*****
*****---穆*****
*****21---*****
*****11---*****
*****46---*****
*****82---*****
*****11---*****
*****26---*****
*****10---*****
*****---陈*****
*****15---*****
*****66---*****
*****---翁*****
*****14---*****
*****15---*****
*****5---福*****
*****49---*****
*****38---*****
*****-实习*****
*****---石*****
*****84---*****
*****33---*****
*****---贾*****
*****---段*****
*****---杨*****
*****-悠哉*****
*****16---*****
*****72---*****
*****03---*****
*****89---*****
*****---赵*****
*****---吴*****
*****10---*****
*****^^英马*****
*****-服装*****
*****97---*****
*****57---*****
*****44---*****
*****33---*****
*****---王*****
*****51---*****
*****---彭*****
*****86---*****


附上几个导演,杂志记者/主编,还有几个疑似明星(黄宏,韩红?)的名字,不知道是否同名了。

10FFD5DB-F95B-41D1-80F0-63514A1CD1F6.jpg

10FFD5DB-F95B-41D1-80F0-63514A1CD1F6.jpg


部分功能,除了订购增值业务测试失败以外,其他功能都可以正常使用。

版权声明:转载请注明来源 李旭敏@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-10-27 16:57

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向中国电信集团公司通报,由其后续协调网站管理部门处置.

最新状态:

暂无


漏洞评价:

评论

  1. 2015-10-23 13:58 | px1624 ( 普通白帽子 | Rank:1042 漏洞数:177 | px1624)

    有么有王思聪啊

  2. 2015-10-23 14:01 | 李旭敏 ( 普通白帽子 | Rank:588 漏洞数:88 | ฏ๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎...)

    @px1624 有庞兴的

  3. 2015-10-23 14:05 | px1624 ( 普通白帽子 | Rank:1042 漏洞数:177 | px1624)

    @李旭敏 。。。尼玛!

  4. 2015-10-23 14:42 | doosit ( 路人 | Rank:18 漏洞数:4 | 木有介绍。)

    @px1624 按照国际惯例 王思聪 应该是186

  5. 2015-10-23 15:17 | 薄雾 ( 路人 | Rank:10 漏洞数:2 | 喜欢交友。喜欢动脑。)

    这个6,去看看王思聪的话费是几百万啊

  6. 2015-10-23 15:26 | prolog ( 普通白帽子 | Rank:580 漏洞数:111 | Rank:8888 漏洞数:1024 | 低调求发展)

    来一个韩红版的充气娃娃

  7. 2015-10-23 16:11 | Mieless ( 实习白帽子 | Rank:33 漏洞数:9 | 我是来打酱油的。)

    通讯录查到了多少明星号码?微信?

  8. 2015-10-23 16:45 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    我偶像赵本山的有么?

  9. 2015-10-23 17:08 | 我的邻居王婆婆 ( 普通白帽子 | Rank:1389 漏洞数:232 | 对漏洞数超过自己的人要报以敬畏之心)

    要火要火要火 还好我是移动

  10. 2015-10-23 17:58 | scanf ( 核心白帽子 | Rank:1334 漏洞数:193 | 。)

    要火

  11. 2015-10-23 21:10 | missy ( 普通白帽子 | Rank:816 漏洞数:219 | .....-3-3-3-3-3-3-3-3-3-3-3-3-3)

    标题好像改了哦

  12. 2015-11-17 19:01 | 小龙 ( 普通白帽子 | Rank:1324 漏洞数:332 | 乌云有着这么一群人,在乌云学技术,去某数...)

    我去,这个……