中国联通某分站SQL注入+GETSHELL影响任意用户的wo+通行证/邮箱权限等

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-099616

漏洞标题：中国联通某分站SQL注入+GETSHELL影响任意用户的wo+通行证/邮箱权限等

漏洞作者： sex is not show

提交时间：2015-03-05 11:32

修复时间：2015-04-20 14:22

公开时间：2015-04-20 14:22

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：16

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-03-05：细节已通知厂商并且等待厂商处理中
2015-03-10：厂商已经确认，细节仅向厂商公开
2015-03-20：细节向核心白帽子及相关领域专家公开
2015-03-30：细节向普通白帽子公开
2015-04-09：细节向实习白帽子公开
2015-04-20：细节向公众公开

简要描述：

详细说明：

理论上可登录全国联通用户wo+/邮箱、管理给个雷吧~
看到<a href="http://www.wooyun.org/bugs/wooyun-2015-091829">WooYun-2015-91829</a>这个漏洞，心中甚是崇拜，小菜想捡漏，于是看看详情，就有了下文：
先从注入说起：
看原来的str2漏洞地址：http://cx.wap.unisk.cn/user/user/login.action，已经直接显示网页源码了，然后各处翻，终于找到了个注入
URL：http://m.unisk.cn/Count2.asp?id=1320356&speid=300
注入参数：speid
其他连接貌似有过滤，这个文件却没过滤，很是奇葩..

注入拿到了帐号密码：

这时想想，貌似还不知道后台，这...
第二天想看看分站有木有别的可利用的地方，无意间又碰到了后台，甚喜
http://123.125.97.162/admin/manage/
然后就去解密，结果md5一个都解不出来，肯定是加盐了..无望，突然发现很多密码的密文都一样，猜想肯定是弱口令，结果尝试成功.哈

得到的密码明文为：

mask 区域

*****a9b96549b0cdc95bd*****

登录进去，发现fck，又是iis6，直接getshell

shell在dlf\upload\37\image\a.asp\目录下、

数据库里号码、短信啥的还是蛮多了，数据库文件68.52 G

平时到这里基本就结束了，今天手贱，看了下开放的端口，发现个6060,就访问了下：
http://123.125.97.162:6060/jcard/demo.php?p=

wo+通行证，通行证一般都很强大.. 就去看源码到底干啥的：

仔细研究下，原来是通向http://i.wo.cn/ wo+通行证的通道，这就有意思了
sso.php

mask 区域

*****?p*****
*****"p*****
*****_decode*****
*****=$pho*****
**********
*****ot;,"****&quo*****
*****$co*****
*****
*****
*****nect: ' *****
*****
*****
**********
*****ot;jcard&q*****
*****ot;.$phone."' ORD*****
*****;<br/&*****
*****ql_quer*****
*****tch_array(*****
*****039;id&*****
*****
*****
*****e{*****
*****39;*****
*****
*****
*****se($c*****
**********
*****=$ui*****
*****["u*****
*****'&*****
*****pt' type='tex*****
1.://**.**.**//i.wo.cn&
*****/script&*****
*****
*****
**********
2.://**.**.**//123.125.97.162:6060/jcard/sso/referer.php&
*****='10*****
*****_set ('*****
*****('Ym*****
*****D52949A6A1*****
*****rmID.$key.*****
*****^＿.$auth.'*****
*****r=SHA1(*****
*****＿.$authenticator.*****
**********
*****-----------&l*****
*****;//初始^*****
*****e.'&'.$*****
*****^^.$input.&quot*****
*****->encry*****
*****^.$encrypt_card.&q*****
*****t;decrypt($rep-&*****
**********
**********
*****erID.'&lt*****
*****userID,$key).*****
*****encode($en*****
*****encryp*****
*****64加密＿.$userInfo*****
*****nfo).'&lt*****
*****rypt($userInfo).*****
*****-----------&l*****
**********
3.://**.**.**//i.wo.cn/sso/otherLogin.dosourcePlatformID=&
*****;<br/&*****
*****pt' type='tex*****
*****n.href='*****
*****/script&*****
*****t;*****
*****php*****
**********
*****ypt3D*****
**********
**********
*****{*****
**********
**********
*****t;; //密钥 要与java的^*****
**********
**********
*****   *****
**********
*****^据^*****
**********
**********
*****ncrypt($*****
**********
**********
*****  *****
**********
**********
*****_size(MCRYPT_3DES*****
**********
**********
*****gt;pkcs5_pad(*****
**********
**********
*****is->key,24,*****
**********
**********
*****ES, '', *****
**********
**********
*****crypt_enc_get_iv_s*****
**********
**********
*****c_init($td, *****
**********
**********
*****pt_generic(*****
**********
**********
*****eneric_de*****
**********
**********
*****odule_clo*****
**********
**********
*****se64_encod*****
**********
**********
*****turn $*****
**********
**********
*****  *****
**********
**********
*****^据^*****
**********
**********
*****rypt($enc*****
**********
**********
*****  *****
**********
**********
*****ase64_decode*****
**********
**********
*****is->key,24,*****
**********
**********
*****3DES,'',*****
**********
**********
*****rypt_enc_get_iv_si*****
**********
**********
*****_enc_get_ke*****
**********
**********
*****c_init($td, *****
**********
**********
*****ypt_generic($t*****
**********
**********
*****eneric_de*****
**********
**********
*****odule_clo*****
**********
**********
*****kcs5_unpad($*****
**********
**********
*****retur*****
**********
**********
*****  *****
**********
**********
*****  *****
**********
**********
*****ad ($text, *****
**********
**********
*****  *****
**********
**********
*****- (strlen($tex*****
**********
**********
*****tr_repeat(chr*****
**********
**********
*****  *****
**********
**********
*****  *****
**********
**********
*****kcs5_unp*****
**********
**********
*****  *****
**********
**********
*****text{strlen*****
**********
**********
***** > str*****
**********
**********
*****   *****
**********
**********
*****turn f*****
**********
**********
*****   *****
**********
**********
*****ad), strlen($text*****
**********
**********
*****   *****
**********
**********
*****return *****
**********
**********
*****   *****
**********
**********
*****r($text, 0,*****
**********
**********
*****  *****
**********
**********
*****}*****
**********
*****t;*****

上面的代码意思是，先到数据库查询是否存在，然后加密直接进入wo+，无需密码啥的，那sourcePlatformID、key就是非常重要的东西了。
分析后得知，查数据库也只是差id，而id和手机号码有一样，所以可以直接修改一下，把查询数据库部分去掉，直接用号码就可以了，这样全国联通的号码我都可以直接登入wo+通行证，并且不需要密码
用我改的sso2.php访问：

mask 区域

1.http://**.**.**/jcard/sso/sso2.phpp=186****8948

访问直接跳转到i.wo.cn

点击邮箱，无需密码直接登录进去

拿的同事的联通号测试的.
下面这个就随便找的、

mask 区域

1.http://**.**.**/jcard/sso/sso2.phpp=15609516201

直接进入邮箱：

理论可登录全国联通用户，over!

漏洞证明：

见详细

修复方案：

你们懂的

版权声明：转载请注明来源 sex is not show@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：14

确认时间：2015-03-10 10:53

厂商回复：

CNVD确认所述情况，已转由CNCERT向中国联通通报。

漏洞评价：

2015-03-05 11:47 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云，知恩不忘，其实我一直都在乌云默...)

这一炮把你打成了核心啊
2015-03-05 12:16 | sex is not show ( 普通白帽子 | Rank:1495 漏洞数:233 | 这家伙真懒！)

@U神没有啊，还是普通
2015-03-05 12:53 | 子非海绵宝宝 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

@sex is not show 过两天就是核心了
2015-03-05 13:39 | 苏州同程旅游网络科技有限公司(乌云厂商)

顶未来核心
2015-03-05 14:08 | Mr.leo ( 普通白帽子 | Rank:1314 漏洞数:176 | 说点神马呢！！)

顶未来核心
2015-03-05 15:19 | 龍、 ( 普通白帽子 | Rank:398 漏洞数:135 | 你若安好我就是晴天)

顶未来核心
2015-03-05 16:28 | 无心、 ( 实习白帽子 | Rank:71 漏洞数:20 | 你不是风儿，我也不是沙，再怎么缠绵也到不...)

@龍、顶未来核心
2015-03-06 08:39 | zzR ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1：5 无限量收 [平台担保])

这一炮把你打成了核心啊
2015-03-06 20:52 | sex is not show ( 普通白帽子 | Rank:1495 漏洞数:233 | 这家伙真懒！)

@zzR 嘿嘿，纯属运气
2015-03-10 11:28 | Stardustsky ( 路人 | Rank:4 漏洞数:3 | ……)

我为什么没挖到(ㄒoㄒ)//

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-099616

漏洞标题：中国联通某分站SQL注入+GETSHELL影响任意用户的wo+通行证/邮箱权限等

相关厂商：中国联通

漏洞作者： sex is not show

提交时间：2015-03-05 11:32

修复时间：2015-04-20 14:22

公开时间：2015-04-20 14:22

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：16

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 sex is not show@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-099616

漏洞标题：中国联通某分站SQL注入+GETSHELL影响任意用户的wo+通行证/邮箱权限等

相关厂商：中国联通

漏洞作者： sex is not show

提交时间：2015-03-05 11:32

修复时间：2015-04-20 14:22

公开时间：2015-04-20 14:22

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：16

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-099616"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 sex is not show@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：