当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0180693

漏洞标题:中国电信某省公司用户体系控制不严导致内网漫游+玩坏所以终端机(多处系统弱口令+日本影片流出)

相关厂商:中国电信

漏洞作者: 路人甲

提交时间:2016-03-04 02:30

修复时间:2016-04-22 14:38

公开时间:2016-04-22 14:38

漏洞类型:重要敏感信息泄露

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-03-04: 细节已通知厂商并且等待厂商处理中
2016-03-08: 厂商已经确认,细节仅向厂商公开
2016-03-18: 细节向核心白帽子及相关领域专家公开
2016-03-28: 细节向普通白帽子公开
2016-04-07: 细节向实习白帽子公开
2016-04-22: 细节向公众公开

简要描述:

内容有点多,写的有点乱,望谅解!
求过!
这个漏洞是我在寒假发现的,整理到现在才发。

详细说明:

这个漫长的故事是从一个DUB爆破到的密码开始的,容我细细道来,望君静静观赏!

放学回家发现服务器上的goog.txt中多了一个这样的账户:**.**.**.**@administrator;???  哦这个弱口令弱的还不错啊!(由于时间原因此账号已经被管理员改密码,但不影响今天的故事。)
QQ截图20160303224429.png



哦啊啊哦哦,甘肃省电信的IP


我快速的阅览了一下正在运行的程序,哦是做后端的人的电脑,而且不止一个人再用,还好管理员不在线!

看到这个界面我一开始以为是QQ后来才发现是易信。
QQ截图20160303220339.png



由于我们家没有电信手机,此处不做深入研究。
接下来我发现了正在连接的BAS,这个有趣:



3.JPG




哦,还有好几台可连接,到时候再慢慢玩,我们继续。接着我发现管理员登录了一个系统但未退出(之后我也找到了他的密码,但文件太多忘记放在了哪里,哈哈。)



7.png



感觉啥都有,这台服务器挺重要的嘛!



8.JPG






2.JPG




先创建一个管理员账户再说:**.**.**.**@help$;123(现已删除)
二话不说把服务器的数据传到民用云端-百度云回家慢慢看,不过在临走之前我有发现了一些东西,改变了这个故事的结尾。
(一)某管理系统的明文密码:



5.JPG




(二)还有这事什么,我不太懂啊。



6.JPG




(三)发现了一台保存密码的XP远程连接,秒连接啊(以下故事主要以此台服务器为主)



QQ截图20160303232001.png


刚刚说到了那台保存密码的XP,但只知道用户名为administrator而不知道密码,后来一想都连上了,在创建一个账户不就行了,于是就有了以下账户:

**.**.**.**@help;123 (仍然可以用)


好像是管理终端机和基站的可内网的机子。
先上传文件到云端,下载之后慢慢分析,以下是分析结果:

漏洞证明:

0x01 终端机的Telnet管理
本人在文档中发现了好多终端机的内网管理地址(**.**.**.**主机下管理)
下面我选择了部分有代表性的文档:

QQ截图20160303213545.png

QQ截图20160303213608.png

QQ截图20160303213812.png

QQ截图20160303213936.png

QQ截图20160303214106.png


但不知道密码怎么办,没事我找到了一份文档:

一.建立telnet,只用密码"huawei"
用consle线
1.进入配置界面
<SwitchA>system-view
2.进入用户界面视图
[SwitchA]user-interface vty 0 4
3.设置认证方式为密码验证方式
[SwitchA-ui-vty0-4]authentication-mode password
4.设置登陆验证的password为明文密码"huawei"
[SwitchA-ui-vty0-4]set authentication password simple huawei
5.配置登陆用户的级别为最高级别3(缺省为级别1)
[SwitchA-ui-vty0-4]user privilege level 3	
6.开启远程登陆
[SwitchA-ui-vty0-4]protocol inbound telnet
[SwitchA-ui-vty0-4]quit					//退出
7.建立vlan2为主网关,IP为**.**.**.**/24
[SwitchA]vlan 2						//创建vlan2
[SwitchA-vlan2]ip-subnet-vlan 1 ip **.**.**.** 24 	//指定IP子网(可按实际情况配IP)					
[SwitchA-vlan2]quit
[SwitchA]interface Vlanif 2				//创建vlanif2接口
[SwitchA-Vlanif2]ip address **.**.**.** 24  		//建立网关**.**.**.** **.**.**.** (可按实际情况配IP)
[SwitchA-Vlanif2]quit
8.将vlan2配置到电口1					//用电口1做为出口
[SwitchA]interface Ethernet0/0/1			//进入电口1
[SwitchA-Ethernet0/0/1]port default vlan 2		//配置默认vlan2
[SwitchA-Ethernet0/0/1]quit
9.保存配置
[SwitchA]quit						//退出配置界面
<SwitchA>save						//保存配置.注意保存,不保存的情况下,交换机重启会丢失刚才的配置


这个“只”字用的惊天地泣鬼神啊,这个弱口令“huawei”用的好啊,展现了我国企业的强大。
于是我顺便看一下数据是否可用(如图,完全可用)

哈哈.png


这个被控制了危害可不小啊!(下图为某成功Telnet连接的大端机)

QQ截图20160303211433.png


点到为止。
0x02 网络拓扑结构&安装方案的泄露
这个危害也不小,但就此我们一笔带过(选取部分)

割接后拓扑图.png

QQ截图20160303214323.png


这个是太平洋保险的,下载地址:

http://**.**.**.**/s/1sko2Dq9


0x03 系统及用户数据的泄露
电信电视机顶盒用户信息

QQ截图20160303210133.png


基站配置信息

QQ截图20160303210239.png

QQ截图20160303211438.png

QQ截图20160303212435.png


U2000及监控

QQ截图20160303214432.png

QQ截图20160303215624.png


QQ截图20160303213525.png


VPN信息及宽带用户信息

QQ截图20160303214818.png

QQ截图20160303220154.png

QQ截图20160303215439.png


数据库&其他机房重要资料

QQ截图20160303215322.png

QQ截图20160303220522.png

QQ截图20160303215145.png

QQ截图20160303220544.png


0x04 安全报告和私人、企业信息
只放几张,太多不厚道。

正面.jpg

QQ截图20160304000053.png

QQ截图20160303214907.png


还有这个,好好玩的样子。

QQ截图20160303210424.png

QQ截图20160303210622.png


0x05 附件

链接:http://**.**.**.**/s/1qWUNC64 密码:iabi


就是这样,故事暂时告一段落。

修复方案:

你们更专业!
求过~~~~~~~

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2016-03-08 14:38

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向中国电信集团公司通报,由其后续协调网站管理部门处置.

最新状态:

暂无

漏洞评价:

评价

  1. 2016-03-04 10:30 | j14n ( 普通白帽子 | Rank:1720 漏洞数:317 | ... . -.-. - . .- --)

    所以終端机是个什么鬼

  2. 2016-03-04 10:51 | 百度谷歌bing狗一下 ( 路人 | Rank:21 漏洞数:4 | 学到老活到老!)

    好奇有什么日本影片...

  3. 2016-03-04 11:10 | von ( 路人 | Rank:18 漏洞数:8 | 一个帅字贯穿了我的一生~)

    日本影片流出

  4. 2016-03-04 11:23 | Suner ( 路人 | Rank:21 漏洞数:2 | 再读小学生)

    所以你进去就是为了找日本影片?

  5. 2016-03-04 11:42 | 坏男孩-A_A ( 实习白帽子 | Rank:81 漏洞数:23 | 膜拜学习中)

    日本影片流出

  6. 2016-03-04 13:48 | 无名 ( 实习白帽子 | Rank:41 漏洞数:9 | 我是一只小菜鸟呀,伊雅伊尔哟。)

    日本影片。。。。

  7. 2016-03-04 15:47 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1393 漏洞数:147 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    求种子打包

  8. 2016-03-04 15:58 | Code Life ( 普通白帽子 | Rank:182 漏洞数:40 | Code Life,Join It!)

    就三部而已@子非海绵宝宝

  9. 2016-03-04 17:21 | sangfor.org ( 实习白帽子 | Rank:52 漏洞数:25 | 天下熙熙,皆为利来;天下攘攘,皆为利往...)

    强势关注

  10. 2016-03-04 17:56 | 一只猿 ( 普通白帽子 | Rank:510 漏洞数:94 | 硬件与无线通信研究方向)

    日本影片流出

  11. 2016-03-04 19:05 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    我是来看日本影片的,结果发现漏洞内容更精彩

  12. 2016-03-04 19:32 | Code Life ( 普通白帽子 | Rank:182 漏洞数:40 | Code Life,Join It!)

    那是,我的漏洞,加个精吧!毕竟高中生写漏洞不容易,这个漏洞写了一个多小时

  13. 2016-03-04 19:39 | Mark0smith ( 普通白帽子 | Rank:148 漏洞数:65 | 我要是再正常一点就好了)

    好想看日本…不,好想看漏洞

  14. 2016-03-04 20:24 | Code Life ( 普通白帽子 | Rank:182 漏洞数:40 | Code Life,Join It!)

    希望加精@疯狗

  15. 2016-03-04 21:21 | 随风的风 ( 普通白帽子 | Rank:244 漏洞数:91 | 微信公众号:233sec 不定期分享各种漏洞思...)

    看看片子。。。

  16. 2016-03-04 22:10 | 漂流瓶 ( 路人 | Rank:7 漏洞数:4 | 2B)

    强势关注........

  17. 2016-03-04 22:50 | Hackshy ( 实习白帽子 | Rank:73 漏洞数:30 | XXXXXXXXXXXX)

    我来看片...

  18. 2016-04-07 16:17 | 无名 ( 实习白帽子 | Rank:41 漏洞数:9 | 我是一只小菜鸟呀,伊雅伊尔哟。)

    片~

  19. 2016-04-16 23:18 | Weiy、 ( 普通白帽子 | Rank:203 漏洞数:39 | 为了梦想我会一直前行、)

    12Rank 低了 感觉7

  20. 2016-04-16 23:19 | Code Life ( 普通白帽子 | Rank:182 漏洞数:40 | Code Life,Join It!)

    暴露了 说你是谁@Weiy、

  21. 2016-04-28 12:37 | Mark ( 路人 | Rank:29 漏洞数:6 | You deserve more)

    放学回家发现服务器上的goog.txt中多了一个这样的账户:???能说详细一点儿么?

  22. 2016-04-28 17:37 | 卖C4的小男孩 ( 实习白帽子 | Rank:81 漏洞数:14 | 啦啦啦 啦啦啦 我是一个卖C4的小行家!...)

    @Mark 3389爆破