中国联通某重要系统漏洞可以登录全国大量联通手机号进入网厅操作

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0171660

漏洞标题：中国联通某重要系统漏洞可以登录全国大量联通手机号进入网厅操作

漏洞作者：路人甲

提交时间：2016-01-21 22:40

修复时间：2016-03-08 21:29

公开时间：2016-03-08 21:29

漏洞类型：系统/服务补丁不及时

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-01-21：细节已通知厂商并且等待厂商处理中
2016-01-25：厂商已经确认，细节仅向厂商公开
2016-02-04：细节向核心白帽子及相关领域专家公开
2016-02-14：细节向普通白帽子公开
2016-02-24：细节向实习白帽子公开
2016-03-08：细节向公众公开

简要描述：

中国联通某重要系统漏洞可以登录全国所有联通手机号进入网厅操作【亲测：18666666666】可查询所有联通手机号码发送给10010的短信以及系统回复的短信内容【流量/积分/余额/WLAN密码等等】

详细说明：

所有联通用户均已躺枪...
1. 中国联通某重要系统漏洞理论可以登录全国所有联通手机号进入网厅操作【亲测：18666666666】
2. 可查询所有联通手机号码发送给10010的短信以及系统回复的短信内容【流量/积分/余额/WLAN密码等等】

中国联通江西网站管理系统存在反序列化执行漏洞
**.**.**.**:7001/efbadmin/

漏洞证明：

getshell：
**.**.**.**:7001/uddi/unicome.jsp wooyun

收集关键配置信息：

bms.url=jdbc:oracle:thin:@**.**.**.**:1525/ecom
bms.username=ltzbyyt
bms.password=l4t5z9b7t0yt

收集到大量联通人员的账号密码邮箱手机号社工的信息

通过数据库操作还可找到更多邮箱账户及密码

修复方案：

听说来乌云会有钱？

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：11

确认时间：2016-01-25 16:31

厂商回复：

CNVD未复现所述情况,已经转由CNCERT向中国联合网络通信集团有限公司通报,由其后续协调网站管理部门处置.

漏洞评价：

评价

2016-01-21 22:44 | 坏男孩-A_A ( 实习白帽子 | Rank:55 漏洞数:19 | 膜拜学习中)

66666
2016-01-21 22:44 | 坏男孩-A_A ( 实习白帽子 | Rank:55 漏洞数:19 | 膜拜学习中)

cctv 打雷吧
2016-01-22 00:06 | 终于明白 ( 普通白帽子 | Rank:109 漏洞数:25 | 彩笔一枚。。。)

https://butian.360.cn/vul/info/qid/QTVA-2016-367457什么情况
2016-01-22 01:00 | 神话般的孩纸 ( 路人 | Rank:25 漏洞数:9 | 少年放下鼠标，一起去拯救世界！)

一洞多投
2016-01-22 02:50 | hacker果果 ( 路人 | Rank:1 漏洞数:1 | 无需解释太多！)

你绝对是大神级人物！
2016-01-22 07:19 | 红客十年 ( 普通白帽子 | Rank:376 漏洞数:78 | 去年离职富士康，回到家中上蓝翔，蓝翔毕业...)

为何还没打雷。。。
2016-01-22 07:36 | 独臂刀王 ( 普通白帽子 | Rank:391 漏洞数:102 | 提交一个漏洞就可以买个柚子~~好爽~)

标题都不改改啊
2016-01-22 08:51 | beiwki ( 路人 | Rank:6 漏洞数:2 | 为成为大牛而努力的菜鸟。)

66666666666
2016-01-22 09:37 | Taro ( 普通白帽子 | Rank:243 漏洞数:62 | 走向最远的方向，哪怕前路迷茫；抱着最大的...)

butian.360.cn上也有，时间比这个早
2016-01-22 11:59 | nclove ( 普通白帽子 | Rank:743 漏洞数:147 | Love is carefully designed lie!)

这个漏洞360给了1000！！！！system_gov

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0171660

漏洞标题：中国联通某重要系统漏洞可以登录全国大量联通手机号进入网厅操作

相关厂商：中国联通

漏洞作者：路人甲

提交时间：2016-01-21 22:40

修复时间：2016-03-08 21:29

公开时间：2016-03-08 21:29

漏洞类型：系统/服务补丁不及时

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0171660

漏洞标题：中国联通某重要系统漏洞可以登录全国大量联通手机号进入网厅操作

相关厂商：中国联通

漏洞作者： 路人甲

提交时间：2016-01-21 22:40

修复时间：2016-03-08 21:29

公开时间：2016-03-08 21:29

漏洞类型：系统/服务补丁不及时

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0171660"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云