当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0173517

漏洞标题:中国联通某漏洞可以登录联通重要管理系统X7(BSS\CBSS\ESS\业务支撑系统)可看全国身份证\任意充值话费流量\补卡换卡\紧急停机等

相关厂商:中国联通

漏洞作者: 殺器王子

提交时间:2016-01-29 09:52

修复时间:2016-03-14 15:10

公开时间:2016-03-14 15:10

漏洞类型:系统/服务补丁不及时

危害等级:高

自评Rank:13

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-29: 细节已通知厂商并且等待厂商处理中
2016-01-29: 厂商已经确认,细节仅向厂商公开
2016-02-08: 细节向核心白帽子及相关领域专家公开
2016-02-18: 细节向普通白帽子公开
2016-02-28: 细节向实习白帽子公开
2016-03-14: 细节向公众公开

简要描述:

附上大V高清无码照片。

详细说明:

无意间得到一份说明书,

1.png


其中提到中国联通提到有个ASS系统,里面是一个业务管理后台门户系统。而且因为密码是通用的,所以也能同时登录其他业务系统。

2.png


通过访问源码页面,判断是jsp环境,用红老师的杀器试了试命令执行,卧槽,果然存在。

3.png


直接写入一句话。

shell.png


翻了翻数据库配置

connection.driverClassName=oracle.jdbc.driver.OracleDriver
connection.url=jdbc:oracle:thin:@**.**.**.**:1521:oracrm1
connection.username=crm2
connection.password=crm2kf


<url>jdbc:oracle:thin:@**.**.**.**:1521:additdb</url>
    <driver-name>oracle.jdbc.OracleDriver</driver-name>
    <properties>
      <property>
        <name>user</name>
        <value>tysl</value>
      </property>
    </properties>
    <password-encrypted>{AES}FbhacitNs3zHWQjGFwmWzMFlQKiOLIo0wnoJ0nOwbd4=</password-encrypted>


<property name="url">
			<value>jdbc:oracle:thin:@**.**.**.**:1531:orajf10</value>
		</property>
		<property name="username">
			<value>ass</value>
		</property>
		<property name="password">
			<value>ass</value>


某些内网接口

<properties>
<!--  是否需要进行数据库的字符转换  -->
<set-property property="NEED_CONVERT" value="FALSE"/>
<!--  应用程序当前的运行状态,有DEBUG和LIVE2种选择  -->
<set-property property="APP_STATUS" value="DEBUG"/>
<!--  不同系统对应的web服务器IP  -->
<!--  crm1  -->
<set-property property="SYSTEM_ADDR_01" value="**.**.**.**:8001/unibss"/>
<!--  crm2  -->
<set-property property="SYSTEM_ADDR_02" value="**.**.**.**:7001/Frame"/>
<!--  监控  -->
<set-property property="SYSTEM_ADDR_03" value="**.**.**.**:7001/Frame"/>
<!--  积分  -->
<set-property property="SYSTEM_ADDR_04" value="**.**.**.**:7001/Frame"/>
<!--  代理商BSS  -->
<set-property property="AGENT_BSS_URL" value="**.**.**.**/unibss"/>
<!--  客服同步省份  -->
<set-property property="KF_PROVINCE" value=",zhejiang,hunan,"/>
<set-property property="KF_CUR_PROVINCE" value=",zhejiang,"/>
<!--  助销系统地址  -->
<set-property property="AS_SYSTEM_ADDR" value="**.**.**.**:7001/unibss"/>
<!--  外部WEBSERVICE调用链接  -->
<!--  客服接口-创建工号  -->
<set-property property="WEBSERVICE_KF_CREATE_USER" value="**.**.**.**:7001/axis/services/CreateUserCode"/>
<!--  客服接口-注销工号  -->
<set-property property="WEBSERVICE_KF_DELETE_USER" value="**.**.**.**:7001/axis/services/DeleteUserCode"/>
<!--  客服接口-查询工单  -->
<set-property property="WEBSERVICE_KF_QUERY_SHEET" value="**.**.**.**:7001/axis/services/QuerySheet"/>
<!--  客服接口-投诉平台  -->
<set-property property="WEBSERVICE_CRM_COMPLAIN" value="**.**.**.**:8980/zjsheet/sheet/portal.do"/>
<!--  客服接口-知识库平台  -->
<set-property property="WEBSERVICE_CRM_KNOW" value="**.**.**.**:8080/login.do"/>
<!--  鉴权平台接口  -->
<set-property property="WEBSERVICE_AUTH" value="**.**.**.**:8088/

漏洞证明:

涉及多个内网数据库我就不一一连接了

jm.png

58.png

解密以后。连接以后

sjk.png


共泄漏了12181个 工号以及密码可登录多个系统,

ebss(1.10-2.0)
ess,
cbss
ass
woego,


bss.png

BSS系统

user:G40524     pass:1Q2W3E-=


sjh.png

ASS系统 据说可以查用户对应信息

ityj.png

IT响应系统
其中it响应系统有任意上传漏洞,可以拿webshell

sc1.png

B域名系统的新建工单处可以上传任意文件。返回的真正路径为

uflowhttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/20160129/w1y.jspx


s2.png


sc1.png


sc2.png

root权限可以再进内网

ess1.10.png

ESS1.10系统,2.0为六大省管理系统,不知道是否也能登录

USER:GE8762      PASS:Sjunyue75^


sfz1.png


USER:AE162818 PASS:!Q2w3e4r


mayun.jpg

只要有手机号,就能定位到身份证,好可怕!话说马云没什么变化啊。。。。

lj.png

how are you?you no ok?
cbss系统权限很大,好玩的东西也多。

shcx.jpg

可查水表的三户查询系统

lyq.png

神奇的联通路由器查询功能,能改路由器同步接口信息。

lyxg.png


sc2.png

修复方案:

msf.png

版权声明:转载请注明来源 殺器王子@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2016-01-29 15:40

厂商回复:

CNVD确认所述情况,已经转由CNCERT向中国联通集团公司通报,由其后续协调网站管理单位处置。风险涉及外网多个业务系统,rank 20

最新状态:

暂无

漏洞评价:

评价

  1. 2016-01-29 09:54 | 红客十年 ( 普通白帽子 | Rank:382 漏洞数:80 | 去年离职富士康,回到家中上蓝翔,蓝翔毕业...)

    卧槽,屌

  2. 2016-01-29 09:58 | an0nym0u5 ( 普通白帽子 | Rank:318 漏洞数:51 )

    火速围观

  3. 2016-01-29 09:59 | 木易 ( 普通白帽子 | Rank:131 漏洞数:35 | 活了二十多年,没能为祖国、为人民做点什么...)

    下雨收衣服喽

  4. 2016-01-29 10:01 | niliu 认证白帽子 ( 核心白帽子 | Rank:1623 漏洞数:218 | 逆流而上)

    前排

  5. 2016-01-29 10:01 | 暴走 ( 普通白帽子 | Rank:536 漏洞数:98 | Wooyun的Rank获取如同Dota冲天梯有过之而无...)

    附上大V高清无码照片!

  6. 2016-01-29 10:03 | 浩天 认证白帽子 ( 核心白帽子 | Rank:925 漏洞数:80 | 哈!躁起来!)

    果然是全国,特么的

  7. 2016-01-29 10:04 | 红客十年 ( 普通白帽子 | Rank:382 漏洞数:80 | 去年离职富士康,回到家中上蓝翔,蓝翔毕业...)

    @浩天 掐指一算果然你会出现评论

  8. 2016-01-29 10:08 | 子墨 ( 普通白帽子 | Rank:264 漏洞数:29 | 天地不仁,以万物为刍狗;圣人不仁,以百姓为...)

    联通真是用不得

  9. 2016-01-29 10:09 | 浮萍 ( 普通白帽子 | Rank:984 漏洞数:197 | 沉淀)

    还好我用移动

  10. 2016-01-29 10:15 | zzR 认证白帽子 ( 普通白帽子 | Rank:1394 漏洞数:123 | 收wb 1:5 无限量收 [平台担保])

    幸好我的手机只能接上伪基站

  11. 2016-01-29 10:25 | DloveJ ( 普通白帽子 | Rank:1341 漏洞数:238 | Web安全测试培训 QQ269787775)

    移动→_→

  12. 2016-01-29 10:41 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1838 漏洞数:152 | 如果大海能够带走我的矮丑...)

    让联通过个好年~

  13. 2016-01-29 10:52 | Seven.Sea ( 普通白帽子 | Rank:118 漏洞数:28 | 唯有安全与美食不可辜负。)

    年前发还是心地善良的

  14. 2016-01-29 11:03 | Taro ( 普通白帽子 | Rank:245 漏洞数:64 | 走向最远的方向,哪怕前路迷茫;抱着最大的...)

    联通过不了一个好年啊

  15. 2016-01-29 11:12 | kav ( 路人 | Rank:16 漏洞数:8 )

    我草,火速围观!

  16. 2016-01-29 11:15 | s3xy ( 核心白帽子 | Rank:942 漏洞数:125 | 相濡以沫,不如相忘于江湖)

  17. 2016-01-29 11:21 | 路人毛 ( 实习白帽子 | Rank:66 漏洞数:29 | 要去刷普通白帽子了!)

    帮我销一张手机卡。。没钱交话费了

  18. 2016-01-29 11:27 | 高小厨 认证白帽子 ( 普通白帽子 | Rank:908 漏洞数:84 | 不会吹牛的小二不是好厨子!)

    去年刚办的联通的卡,抗议

  19. 2016-01-29 11:49 | Whysec ( 路人 | Rank:20 漏洞数:7 )

    6666666666666666666

  20. 2016-01-29 12:01 | 孤心 ( 路人 | Rank:21 漏洞数:10 | php程序猿!渗透.入侵.社工...等我都不会!)

    来的不算晚吧。围观

  21. 2016-01-29 12:22 | Pzacker ( 实习白帽子 | Rank:42 漏洞数:12 | 请用你知道的去帮助别人,就像别人当初帮助...)

    6666666666666

  22. 2016-01-29 12:29 | von ( 路人 | Rank:12 漏洞数:5 | 一个帅字贯穿了我的一生~)

    坐等高清五码

  23. 2016-01-29 12:35 | 从容 ( 普通白帽子 | Rank:252 漏洞数:80 | Enjoy Hacking Just Because It's Fun | ...)

    小号全特么联通的

  24. 2016-01-29 12:52 | 小龙 ( 普通白帽子 | Rank:1539 漏洞数:392 | 乌云有着这么一群人,在乌云学技术,去某数...)

    给我来个0元5G的套餐,谢谢 @殺器王子

  25. 2016-01-29 12:55 | 随风的风 ( 普通白帽子 | Rank:219 漏洞数:78 | 微信公众号:233sec 不定期分享各种漏洞思...)

    肉肉:昨晚杀气王子好厉害。

  26. 2016-01-29 13:12 | pkav ( 路人 | Rank:0 漏洞数:1 | 保护世界)

    \\/(- +)66666

  27. 2016-01-29 13:40 | 齐迹 ( 普通白帽子 | Rank:802 漏洞数:103 | 重庆地区招聘安全工程师。sec.zbj.com欢迎...)

    还好 还好 从来没用联通

  28. 2016-01-29 13:46 | Mieless ( 实习白帽子 | Rank:35 漏洞数:10 | 我是来打酱油的。)

    怎么老这样

  29. 2016-01-29 14:08 | 风情万种 ( 普通白帽子 | Rank:193 漏洞数:65 | 不再相信爱了)

    怎么老这样

  30. 2016-01-29 14:21 | oneplusone ( 实习白帽子 | Rank:53 漏洞数:15 | 三十功名尘与土,八千里路云和月。莫等闲、...)

    再次加雷了

  31. 2016-01-29 14:37 | 迪南 ( 普通白帽子 | Rank:314 漏洞数:68 | 我真是一个大菜比)

    温州联通某系统入口?

  32. 2016-01-29 14:57 | sangfor.org ( 实习白帽子 | Rank:32 漏洞数:17 | 天下熙熙,皆为利来;天下攘攘,皆为利往...)

    强势围观

  33. 2016-01-29 14:58 | scanf ( 核心白帽子 | Rank:1423 漏洞数:203 | 。)

    幸好没用联通的

  34. 2016-01-29 15:08 | D_in ( 普通白帽子 | Rank:423 漏洞数:65 | 到我嘴里来)

    666

  35. 2016-01-29 15:39 | p4ssw0rd ( 普通白帽子 | Rank:306 漏洞数:92 | 不作死就不会死)

    mark

  36. 2016-01-29 17:52 | aaaaty ( 普通白帽子 | Rank:107 漏洞数:31 | 爱情就像,我问服务器whoami,它说root)

    标题真长...

  37. 2016-02-18 20:12 | 小红猪 ( 普通白帽子 | Rank:303 漏洞数:54 | little red pig!)

    真牛