2016-05-12: 细节已通知厂商并且等待厂商处理中 2016-05-16: 厂商已经确认,细节仅向厂商公开 2016-05-26: 细节向核心白帽子及相关领域专家公开 2016-06-05: 细节向普通白帽子公开 2016-06-15: 细节向实习白帽子公开 2016-06-30: 细节向公众公开
**.**.**.** >> >>CWS >>Success**.**.**.** >> >>CWS >>Success**.**.**.** >> >>CWS >>Success**.**.**.** >> >>CWS >>Success**.**.**.** >> >>Apache >>Success**.**.**.** >> >>CWS >>Success**.**.**.** >> >>China Mobile >>Success**.**.**.** >> >>CWS >>Success
**.**.**.**:80 >>> Open**.**.**.**:8080 >>> Open**.**.**.**:443 >>> Open**.**.**.**:8080 >>> Open**.**.**.**:80 >>> Open**.**.**.**:443 >>> Open**.**.**.**:8080 >>> Open**.**.**.**:8080 >>> Open**.**.**.**:80 >>> Open**.**.**.**:443 >>> Open**.**.**.**:443 >>> Open**.**.**.**:8080 >>> Open**.**.**.**:80 >>> Open**.**.**.**:8080 >>> Open**.**.**.**:443 >>> Open**.**.**.**:8080 >>> Open**.**.**.**:8080 >>> Open**.**.**.**:21 >>> Open**.**.**.**:80 >>> Open**.**.**.**:443 >>> Open**.**.**.**:80 >>> Open**.**.**.**:21 >>> Open**.**.**.**:80 >>> Open**.**.**.**:80 >>> Open**.**.**.**:443 >>> Open**.**.**.**:8080 >>> Open
http://**.**.**.**/webdisk/thirdAuthorize.action存在struts2-032的命令执行漏洞
和彩云是中国移动旗下的个人网盘,面向所有用户提供安全、便捷、高效的个人云存储服务。用户可以放心的存储照片、视频等生活点滴和各类文件资料,还能在手机和电脑之间轻松同步、在线浏览以及分享给朋友。手机端可以实现通讯录、短彩信、手机应用、手机图片、手机视频和日历所有信息的全份,信息丢失后只需一键恢复,即可找回所有数据。
直接getshell
为了证明可以影响用户数据的,我找了下数据库配置找到了一堆接口
<!-- 各平台地址 体验环境没有营销平台,需要搭建! OSE,BMSUITE,SEAS,SCC,订购,营销 --><ose_addr ver="b136">**.**.**.**:18080</ose_addr><ose_https_addr ver="b136">**.**.**.**:18082</ose_https_addr><bmsuite_addr ver="b136">**.**.**.**:2126</bmsuite_addr><scc_addr ver="b136">**.**.**.**:8080</scc_addr><order_subWeb_addr ver="b136">**.**.**.**:8080</order_subWeb_addr><aas_addr ver="">**.**.**.**:2118</aas_addr><market_addr>**.**.**.**</market_addr><cdn_addr ver="b136">**.**.**.**:2125</cdn_addr><!-- 本机ip port --><cdn_addr ver="b136">**.**.**.**:2125</cdn_addr><!-- js,css的当前发布版本 --><code_version ver="b136"/><!-- 开发模式 false, 部署模式 true, 用于jsp引用判断引合并之后的js还是单个js --><code_status>false</code_status><!-- 彩云在线编辑 移动office 外网IP替换为内网IP --><onlinEditor_replacementIP ver="b137">**.**.**.**:9000,**.**.**.**:8080;**.**.**.**:28080,**.**.**.**:9090;**.**.**.**:58080,**.**.**.**:58080;**.**.**.**:9090,**.**.**.**:19090</onlinEditor_replacementIP><!-- memcached服务器地址 端口 以及是否开启 --><memcached_host>**.**.**.**</memcached_host><memcached_port>11211</memcached_port><memcached_Switch>true</memcached_Switch><!-- 飞信同窗鉴权 start --><fetion.app.auth>false</fetion.app.auth><fetion.app.cky>22148</fetion.app.cky><fetion.allow.page>.html</fetion.allow.page><fetion.allow.request>/portal/webdisk4fectionSafebox.jsp;/portal/webdisk4fection.jsp;vplayer4webdiskfection.jsp?src=safebox;mplayer4webdiskfection.jsp?src=safebox</fetion.allow.request><!-- 飞信同窗鉴权 end --><!-- 彩云消息彩信内容读取URL(servlet地址) --><mmsgetfile>http://**.**.**.**:2125/getMmsFile</mmsgetfile><aas.bosh.servers>**.**.**.**:2700|bosh1,**.**.**.**:2701|bosh2</aas.bosh.servers><!-- 邮箱的key --><aas.caiyun.mailClientkey>3DF56DABC</aas.caiyun.mailClientkey><!-- portal首页地址 --><portal_index_path>http://**.**.**.**:2125/Mcloud/portal/index.jsp</portal_index_path><!-- 登录页basepath --><basepath>https://**.**.**.**:2663/Mcloud/</basepath><!-- 在线编辑 --><editOnlineUrl>**.**.**.**:8080</editOnlineUrl><!-- 互联网通行证MD5密钥 --><secretKey>testcaiyun</secretKey><!-- 升级互联网通行证url --><upgredMobilePassUrl>**.**.**.**/Mcloud/logout.jsp</upgredMobilePassUrl><!-- 717彩云应用软件 --><qryaccount_url>**.**.**.**:8080/subProxyWeb/actionServlet</qryaccount_url><getMobilePassBoxURL>http://**.**.**.**:30030/UmcSSO</getMobilePassBoxURL><!-- 微博广场客户端下载中转地址 --><twitterRedirect>**.**.**.**:9090/portal/mobile.jsp</twitterRedirect><!-- 上传插件OSE地址 --><ose.ndHttpAddr>**.**.**.**:2119/richlifeApp</ose.ndHttpAddr><ose.ndHttpsAddr>**.**.**.**:2567/richlifeApp</ose.ndHttpsAddr><aas_addr_webnd ver="">**.**.**.**:2117/tellin/checkVersion.do</aas_addr_webnd></config><?xml version="1.0" encoding="UTF-8"?><!-- 现网配置项文件,如果开发中需要改动,请至扩展配置中修改并修改web.xml进行开发,上线前去掉配置 --><config> <contentPath>Mcloud</contentPath> <!-- OSE服务平台地址 --> <ose_addr ver="b136">**.**.**.**:8080</ose_addr> <ose_https_addr ver="b136">**.**.**.**:8443</ose_https_addr> <!-- BMSuite地址 --> <bmsuite_addr ver="b136">**.**.**.**:8080</bmsuite_addr> <!--BMSuite ISysDataWS--> <bmsuite_ISysDataWS ver="b136">{bmsuite_addr}/mgmtWeb/xfire/services/ISysDataWS</bmsuite_ISysDataWS> <!-- SAES地址 --> <saes_addr ver="b136">{ose_addr}/richlifeApp/devapp/saes_user.IUser</saes_addr> <!-- SAES公共账号地址 --> <saes_addr_pub ver="b136">{ose_addr}/richlifeApp/devapp/saes_share.IPubAcc</saes_addr_pub> <!-- 彩云文件类地址 --> <saes_addr_content ver="b136">{ose_addr}/richlifeApp/devapp/saes_CYContent.IContent</saes_addr_content> <!-- SAES集成 --> <saes_addr_assemble ver="b136">{ose_addr}/richlifeApp/devapp/saes_CYAssemble.IAssemble</saes_addr_assemble> <!--139OP平台接口,查询用户安装的应用--> <appinfo139_addr ver="b136">**.**.**.**/appinfo.php</appinfo139_addr> <!--订购平台ip--> <!--<order_subWeb_addr ver="b136">**.**.**.**:8080</order_subWeb_addr>--> <order_subWeb_addr ver="b136">**.**.**.**:9797</order_subWeb_addr> <!--cnd地址--> <cdn_addr ver="b136">http://**.**.**.**.fastcdn.com</cdn_addr> <!-- 上报跟踪信息接口 --> <reportTraceUrl_addr>rmi**.**.**.**:11049</reportTraceUrl_addr> <!-- 举报公开文件rmi接口 --> <reportPublicUrl_addr>rmi**.**.**.**:61049</reportPublicUrl_addr> <!-- 本机ip port --> <local_addr>**.**.**.**:8080</local_addr> <!-- 判断是否为手机号码 --> <regexp_cellphone_js>/^((134[0-8]{1})|(13[0,1,2,3,5,6,7,8,9]\d)|(15[0,1,2,3,5,6,7,8,9]\d)|(17[0,7])\d|(18\d\d)|(14\d\d)|(106\d))\d{7}$/</regexp_cellphone_js> <!-- 判断移动号段的JS正则表达式 --> <regexp_mobile_js>/^((134[0-8]{1})|(13[5-9]\d)|(15[0,1,2,7,8,9]\d)|(18[23478]\d)|(14\d\d)|(106\d))\d{7}$/</regexp_mobile_js> <!--判断是否广东省号码--> <provinceUrl_addr>**.**.**.**:8080</provinceUrl_addr> <!-- 2008-12-06 sep新接口专用 --> <newWebDisk ver="b136">{ose_addr}/richlifeApp/devapp/</newWebDisk> <newWebDiskHttps ver="b136">{ose_https_addr}/richlifeApp/devapp/</newWebDiskHttps> <!-- add by litz 企业回收站接口 20130624 begin --> <enterprise ver="b136">{ose_addr}/richlifeApp/devapp/</enterprise> <!-- add by litz 企业回收站接口 20130624 end --> <!-- 2008-12-12 注册来源系统标识--> <clientId ver="b136">520001</clientId> <!-- 调用OSE平台短信操作的URL,包括短信查询、删除、短信注释的增、删、改等操作 --> <sepUrl ver="b136" des="sep">{ose_addr}/richlifeApp/devapp/IMessage</sepUrl> <!--判断是否广东省号码 --> <province_url ver="b136">{provinceUrl_addr}/cbp/profile/findProvAndRegion.action</province_url> <safe ver="b136" des="动态密码">{ose_addr}/richlifeApp/devapp/IUser</safe> <CDN_image_url ver="b136">{cdn_addr}/{contentPath}/</CDN_image_url> <CDN_js_url ver="b136">{cdn_addr}/{contentPath}/</CDN_js_url> <CDN_css_url ver="b136">{cdn_addr}/{contentPath}/</CDN_css_url> <!-- js,css的当前发布版本 --> <code_version ver="b136">_V3.5.0</code_version> <!--开发模式 false, 部署模式 true, 用于jsp引用判断引合并之后的js还是单个js--> <code_status>true</code_status> <!-- 移动微博登陆URL --> <loginurl ver="b136">https://**.**.**.**</loginurl> <!-- http请求的超时时间 --> <httpRequestTimeOut ver="b136">30000</httpRequestTimeOut> <httpVailauthTimeOut ver="b136">2000</httpVailauthTimeOut> <!--页面上要显示的目录 --> <defaultRootCatalog ver="b136">我的彩云文件,00019700101000000001,文件邮,00019700101000000024,通话记录,00019700101000000025,发布的文件,00019700101000000019,说客相册,00019700101000000002,手机上传,00019700101000000006,短信珍藏,00019700101000000028,每日拍,00019700101000000029,移动相册,00019700101000000027,图片外链,00019700101000000030,我的收藏夹,00019700101000000035,SD卡备份,00019700101000000042,保险箱,00019700101000000040,离线下载,00019700101000000026</defaultRootCatalog> <!-- 离线下载目录ID 02320100225113418387测试ID--> <breakLineDownLoadId>00019700101000000026</breakLineDownLoadId> <!-- 彩云空间不够时的提示开关,当使用超1(=100%)时提示 --> <webdisk_tip_Switch ver="b136">1</webdisk_tip_Switch> <!--短信验证码显示限制数,当天发送的短信条数大于该数时方显示验证码、为空则不限制--> <message_validateCode_ShowLimitNum ver="b136">50</message_validateCode_ShowLimitNum> <!-- 彩云在线编辑 移动office 外网IP替换为内网IP --> <onlinEditor_replacementIP ver="b137">**.**.**.**:9000,**.**.**.**:8080;**.**.**.**:9010,**.**.**.**:8383;**.**.**.**:9011,**.**.**.**:8383;**.**.**.**:9013,**.**.**.**:8383;**.**.**.**:9014,**.**.**.**:8383;**.**.**.**:9015,**.**.**.**:8383;**.**.**.**:9012,**.**.**.**:8383;**.**.**.**:18060,**.**.**.**:8080;**.**.**.**:9016,**.**.**.**:8080;**.**.**.**:9017,**.**.**.**:8080;**.**.**.**:9018,**.**.**.**:8080;**.**.**.**:9019,**.**.**.**:8080;**.**.**.**:9020,**.**.**.**:8080;**.**.**.**:9021,**.**.**.**:8080;**.**.**.**:9000,**.**.**.**:8080;**.**.**.**:9000,**.**.**.**:8080;**.**.**.**:9033,**.**.**.**:8080;**.**.**.**:9034,**.**.**.**:8080;**.**.**.**:9022,**.**.**.**:8080;**.**.**.**:9023,**.**.**.**:8080;**.**.**.**:9024,**.**.**.**:8080;**.**.**.**:9025,**.**.**.**:8080;**.**.**.**:9026,**.**.**.**:8080;**.**.**.**:9027,**.**.**.**:8080;**.**.**.**:9028,**.**.**.**:8080;**.**.**.**:9029,**.**.**.**:8080;**.**.**.**:9030,**.**.**.**:8080;**.**.**.**:9031,**.**.**.**:8080;**.**.**.**:9032,**.**.**.**:8080;**.**.**.**:9126,**.**.**.**:18443;**.**.**.**:9120,**.**.**.**:18443;**.**.**.**:9107,**.**.**.**:18443;**.**.**.**:9035,**.**.**.**:8080;**.**.**.**:9036,**.**.**.**:8080;**.**.**.**:9037,**.**.**.**:8080;**.**.**.**:9038,**.**.**.**:8080;**.**.**.**:9133,**.**.**.**:18443;**.**.**.**:9134,**.**.**.**:18443;**.**.**.**:9135,**.**.**.**:18443;**.**.**.**:9136,**.**.**.**:18443;**.**.**.**:9045,**.**.**.**:8080;**.**.**.**:9046,**.**.**.**:8080;**.**.**.**:9047,**.**.**.**:8080;**.**.**.**:9048,**.**.**.**:8080;**.**.**.**:9049,**.**.**.**:8080;**.**.**.**:9050,**.**.**.**:8080;**.**.**.**:9143,**.**.**.**:18443;**.**.**.**:9144,**.**.**.**:18443;**.**.**.**:9145,**.**.**.**:18443;**.**.**.**:9146,**.**.**.**:18443;**.**.**.**:9147,**.**.**.**:18443;**.**.**.**:9148,**.**.**.**:18443;**.**.**.**:9051,**.**.**.**:8080;**.**.**.**:9052,**.**.**.**:8080;**.**.**.**:9053,**.**.**.**:8080;**.**.**.**:9054,**.**.**.**:8080;**.**.**.**:9055,**.**.**.**:8080;**.**.**.**:9056,**.**.**.**:8080;**.**.**.**:9149,**.**.**.**:18443;**.**.**.**:9150,**.**.**.**:18443;**.**.**.**:9151,**.**.**.**:18443;**.**.**.**:9152,**.**.**.**:18443;**.**.**.**:9153,**.**.**.**:18443;**.**.**.**:9154,**.**.**.**:18443;**.**.**.**:9057,**.**.**.**:8080;**.**.**.**:9058,**.**.**.**:8080;**.**.**.**:9059,**.**.**.**:8080;**.**.**.**:9060,**.**.**.**:8080;**.**.**.**:9061,**.**.**.**:8080;**.**.**.**:9062,**.**.**.**:8080;**.**.**.**:9155,**.**.**.**:18443;**.**.**.**:9156,**.**.**.**:18443;**.**.**.**:9157,**.**.**.**:18443;**.**.**.**:9158,**.**.**.**:18443;**.**.**.**:9159,**.**.**.**:18443;**.**.**.**:9160,**.**.**.**:18443;**.**.**.**:9063,**.**.**.**:8080;**.**.**.**:9064,**.**.**.**:8080;**.**.**.**:9065,**.**.**.**:8080;**.**.**.**:9066,**.**.**.**:8080;**.**.**.**:9161,**.**.**.**:18443;**.**.**.**:9162,**.**.**.**:18443;**.**.**.**:9163,**.**.**.**:18443;**.**.**.**:9164,**.**.**.**:18443</onlinEditor_replacementIP> <!-- add by zhouhu end --> <!-- 上报跟踪信息接口 --> <reportTraceUrl>{reportTraceUrl_addr}/ITrace</reportTraceUrl> <!-- trace定时器启动时间 hhmmss --> <traceTimerStart>010000</traceTimerStart> <!-- trace定时器周期间隔 小时--> <traceTimerPeriod>24</traceTimerPeriod> <!-- 彩云目录id的配置--> <catalogid_mydisk>00019700101000000001</catalogid_mydisk> <catalogid_myphoto>00019700101000000011</catalogid_myphoto> <catalogid_mymusic>00019700101000000012</catalogid_mymusic> <catalogid_myvideo>00019700101000000013</catalogid_myvideo> <catalogid_playlist>00019700101000000015</catalogid_playlist> <!-- 举报公开文件rmi接口 --> <reportPublicUrl>{reportPublicUrl_addr}/IReport</reportPublicUrl> <!--memcached服务器地址 端口 以及是否开启--> <memcached_host>**.**.**.**</memcached_host> <memcached_port>12001,12002,12003,12004,12005</memcached_port> <memcached_Switch>true</memcached_Switch> <!-- 加密手机号的密匙 --> <md5key>abc123</md5key> <!-- 移动微博的白名单接口 --> <whitelist>http://**.**.**.**/wpm.php?m=</whitelist> <!-- 福建移动获取 路由规则类型 --> <routetype>areacd</routetype> <!-- 订购调用查询、开关短信过滤、消息记录接口 --> <applyServiceNew_url>{order_subWeb_addr}/subProxyWeb/actionServlet</applyServiceNew_url> <!-- 飞信同窗鉴权 start --> <fetion.app.auth>true</fetion.app.auth> <fetion.app.cky>22148</fetion.app.cky> <fetion.allow.page>**.**.**.**/apps/detail</fetion.allow.page> <fetion.allow.request>webdisk4fectionSafebox.jsp;/portal/webdisk4fection.jsp;vplayer4webdiskfection.jsp?src=safebox;mplayer4webdiskfection.jsp?src=safebox</fetion.allow.request> <!-- 飞信同窗鉴权 end --> <!--彩云首页短信发送下载地址,短信全网发送接口--> <mcloud_sms_mobile_url>http://sms.**.**.**.**/?m=Outside&a=sendsmsbym</mcloud_sms_mobile_url> <mcloud_sms_mobile_uid>12520097</mcloud_sms_mobile_uid> <mcloud_sms_mobile_pwd>sms.**.**.**.**</mcloud_sms_mobile_pwd> <!--彩云首页短信发送下载地址,短信全网发送接口 end --> <!-- 静默开户 start --> <weibo.open.url>http://**.**.**.**/mobile/create</weibo.open.url> <weibo.open.appkey>8eb3ff1559f1207fab1ee2c80296d82b</weibo.open.appkey> <!-- 静默开户 end --> <!-- 飞信SSO start --> <fetion.sso.domain>**.**.**.**</fetion.sso.domain> <fetion.sso.domains>**.**.**.**%3b**.**.**.**%**.**.**.**</fetion.sso.domains> <fetion.sso.dynapwd>http://nav.**.**.**.**/nav/SendSmsPwd.aspx</fetion.sso.dynapwd> <fetion.sso.authkey>$a3F8C%D</fetion.sso.authkey> <fetion.sso.switch>false</fetion.sso.switch> <fetion.sso.permanent>86400000</fetion.sso.permanent> <fetion.sso.allows>**.**.**.**;/proxy/;/portal/;vplayer4webdiskfection.jsp?src=portal;mplayer4webdiskfection.jsp?src=portal</fetion.sso.allows> <!-- 飞信SSO end --> <!-- pc插件下载地址 --> <pcDownurl ver="b136">http://**.**.**.**/baihe/Mcloud/McloudHelper.zip</pcDownurl> <mcloud_DownloadURL>彩云Android客户端下载地址:http://**.**.**.**/mCloud_2.2.1_117-000.apk 【请点击下载】</mcloud_DownloadURL> <feixin_DownloadURL>飞信彩云版Android客户端下载地址:http://**.**.**.**/Mobiledownload/Android4.2/fetion_android-4.2.1-GEN-GENERIC-1.6-release-130118-webgw.apk 【请点击下载】</feixin_DownloadURL> <mcloudClientUrl>http://**.**.**.**/mCloud/mCloud-2.6.0.exe</mcloudClientUrl> <mcloudApkUrl>http://**.**.**.**/mCloud_2.2.1_117-000.apk</mcloudApkUrl> <mcloudIpadUrl>https://**.**.**.**/cn/app/cai-yunhd/id544679384?mt=8</mcloudIpadUrl> <mcloudIPhoneUrl>http://**.**.**.**/cn/app/cai-yun/id544673497?mt=8</mcloudIPhoneUrl> <mcloudSignedUrl>http://**.**.**.**/CaiYun_signed.sis</mcloudSignedUrl> <mcloudWinPhone8Url>http://**.**.**.**/zh-cn/store/app/%E5%BD%A9%E4%BA%91/d87b5c1f-9638-4fc9-80ad-173e8acf1d11</mcloudWinPhone8Url> <feitionClientUrl>http://**.**.**.**/Cloud/Fetion2012Cloud_Sep.exe</feitionClientUrl> <feitionApkUrl>http://**.**.**.**/Mobiledownload/Android4.2/fetion_android-4.2.1-GEN-GENERIC-1.6-release-130118-webgw.apk</feitionApkUrl> <!-- 微博广场统计需求用的配置参数,andriod版彩云升级时需要修改版本号 --> <mcloudApkUrl_Twitter>http://**.**.**.**/mCloud_1.3.0-827.apk</mcloudApkUrl_Twitter> <mcloudApkUrl_bak>http://**.**.**.**/mCloud_1.3.0-</mcloudApkUrl_bak> <!-- 彩云消息按ID查询接口URL --> <extIntfIMessage>{ose_addr}/richlifeApp/extIntf/IMessage</extIntfIMessage> <!-- 彩云消息彩信内容保存路径 --> <caiyunurl>/home/caiyun/MCloudShare/CYMMS/</caiyunurl> <!-- 彩云消息彩信内容读取URL(servlet地址) --> <mmsgetfile>http://**.**.**.**/getMmsFile</mmsgetfile> <!-- 彩云消息彩信内容smil获取url内外网地址转换ip --> <caiyunIP>**.**.**.**:9000,**.**.**.**:8080;**.**.**.**:9010,**.**.**.**:8383;**.**.**.**:9011,**.**.**.**:8383;**.**.**.**:9013,**.**.**.**:8383;**.**.**.**:9014,**.**.**.**:8383;**.**.**.**:9015,**.**.**.**:8383;**.**.**.**:9012,**.**.**.**:8383;**.**.**.**:18060,**.**.**.**:8080;**.**.**.**:9016,**.**.**.**:8080;**.**.**.**:9017,**.**.**.**:8080;**.**.**.**:9018,**.**.**.**:8080;**.**.**.**:9019,**.**.**.**:8080;**.**.**.**:9020,**.**.**.**:8080;**.**.**.**:9021,**.**.**.**:8080;**.**.**.**:9000,**.**.**.**:8080;**.**.**.**:9000,**.**.**.**:8080;**.**.**.**:9033,**.**.**.**:8080;**.**.**.**:9034,**.**.**.**:8080;**.**.**.**:9022,**.**.**.**:8080;**.**.**.**:9023,**.**.**.**:8080;**.**.**.**:9024,**.**.**.**:8080;**.**.**.**:9025,**.**.**.**:8080;**.**.**.**:9026,**.**.**.**:8080;**.**.**.**:9027,**.**.**.**:8080;**.**.**.**:9028,**.**.**.**:8080;**.**.**.**:9029,**.**.**.**:8080;**.**.**.**:9030,**.**.**.**:8080;**.**.**.**:9031,**.**.**.**:8080;**.**.**.**:9032,**.**.**.**:8080;**.**.**.**:9126,**.**.**.**:18443;**.**.**.**:9120,**.**.**.**:18443;**.**.**.**:9107,**.**.**.**:18443</caiyunIP> <!-- AAS平台地址 --> <aas_addr ver="108">**.**.**.**:8080</aas_addr> <!-- 给插件使用的获取最新版本的公网AAS接口地址 --> <aas_addr_webnd ver="">http://aas.**.**.**.**:80/tellin/checkVersion.do</aas_addr_webnd> <aas.url.verfycode>{aas_addr}/tellin/verfycode.do</aas.url.verfycode> <aas.url.verfycodeauth>{aas_addr}/tellin/verfycodeauth.do</aas.url.verfycodeauth> <aas.url.thirdlogin>{aas_addr}/tellin/thirdlogin.do</aas.url.thirdlogin> <aas.url.randomcode>{aas_addr}/tellin/getDyncPasswd.do</aas.url.randomcode> <aas.url.refreshtoken>{aas_addr}/tellin/authTokenRefresh.do</aas.url.refreshtoken> <aas.url.tempticket>{aas_addr}/tellin/usr/puc/ispace/sso/gettmpticket.do</aas.url.tempticket> <aas.url.createuser>{aas_addr}/tellin/createUser.do</aas.url.createuser> <aas.url.modifypwd>{aas_addr}/tellin/modifyPWD.do</aas.url.modifypwd> <aas.caiyun.clienttype>415</aas.caiyun.clienttype> <aas.caiyun.cpid>59</aas.caiyun.cpid> <aas.caiyun.clientkey>ghsr#&fhth%</aas.caiyun.clientkey> <!-- 邮箱的客户端类型 --> <aas.caiyun.mailclienttype>433</aas.caiyun.mailclienttype> <!-- 邮箱的CPID--> <aas.caiyun.mailcpid>74</aas.caiyun.mailcpid> <!-- 邮箱的key--> <aas.caiyun.mailClientkey>MXF(*^83dkF</aas.caiyun.mailClientkey> <!-- feixin clienttype --> <aas.caiyun.feixinclienttype>442</aas.caiyun.feixinclienttype> <!-- feixinCPID--> <aas.caiyun.feixincpid>14</aas.caiyun.feixincpid> <!-- feixinkey--> <aas.caiyun.feixinClientkey>m*s9$8awpE</aas.caiyun.feixinClientkey> <!-- 微博的客户端类型 --> <aas.caiyun.weiboclienttype>438</aas.caiyun.weiboclienttype> <!-- 微博的CPID--> <aas.caiyun.weibocpid>77</aas.caiyun.weibocpid> <!-- 微博的key--> <aas.caiyun.weiboClientkey>X<kfd9123k</aas.caiyun.weiboClientkey> <!-- aipai的客户端类型 --> <aas.caiyun.aipaiclienttype>441</aas.caiyun.aipaiclienttype> <!-- aipaiCPID--> <aas.caiyun.aipaicpid>79</aas.caiyun.aipaicpid> <!-- aipaikey--> <aas.caiyun.aipaiClientkey>l0234Ldf93e</aas.caiyun.aipaiClientkey> <!-- aas.bosh.serversNJ联调**.**.**.**:2700|bosh1,**.**.**.**:2701|bosh2 --> <!-- aas.bosh.servers现网内网**.**.**.**:5280|bosh1,**.**.**.**:5281|bosh2 --> <aas.bosh.servers>**.**.**.**:5280|bosh1,**.**.**.**:5280|bosh2,**.**.**.**:5280|bosh3,**.**.**.**:5280|bosh4,**.**.**.**:5280|bosh5,**.**.**.**:5280|bosh6,**.**.**.**:5280|bosh7,**.**.**.**:5280|bosh8</aas.bosh.servers> <aas.bosh.switch>true</aas.bosh.switch> <!-- AAS end--> <!-- 飞信彩云下载链接短信一天发送次数限制 --> <maxdownloadtimes>3</maxdownloadtimes> <!-- 文件外链接口 --> <IOutLink>{ose_addr}/richlifeApp/devapp/IOutLink</IOutLink> <CYOutLink>{ose_addr}/richlifeApp/devapp/saes_CYOutLink.IOutLink</CYOutLink> <!-- 消息下发接口(通知短信、通知邮件) --> <saes_message>{ose_addr}/richlifeApp/devapp/saes_message.IMessage</saes_message> <!-- 同步盘PC客户端下载地址 --> <synDiskPCDownloadURL>http://**.**.**.**/CSD/csd.exe</synDiskPCDownloadURL> <!-- 图片外链分享下发短信内容 --> <linkMsg>中国移动彩云:您的好友[0]通过彩云给您分享文件下载地址为:[2]</linkMsg> <linkMsgHtml>[p]nbsp[/p][p]中国移动彩云:您的好友[0]通过彩云给您分享文件下载地址为:[/p][p]nbsp[/p][p][2][/p]</linkMsgHtml> <linkMailHtml>[p][0] 给您分享彩云文件 [1] ,赶快来查看吧![/p][p]查看地址为: [2][/p]</linkMailHtml> <linkSNSHtml>我通过@彩云Mcloud 分享了 “[0]”,赶快来下载吧。</linkSNSHtml> <!--登录页的http地址 --> <basepath_http>http://**.**.**.**/</basepath_http> <!-- portal首页地址 --> <portal_index_path>http://**.**.**.**/portal/index.jsp</portal_index_path> <!-- 登录页basepath --> <basepath>https://**.**.**.**/</basepath> <!-- 在线编辑 --> <ThirdDocEditFlag>true</ThirdDocEditFlag> <!-- 图片冲印 --> <ThirdPrintImageFlag>false</ThirdPrintImageFlag> <!-- 一键美化 --> <ThirdXiuxiuFlag>true</ThirdXiuxiuFlag> <!-- 文件杀毒 --> <ThirdKillVirusFlag>true</ThirdKillVirusFlag> <!-- 在线编辑 --> <editOnlineUrl>http://edit.**.**.**.**</editOnlineUrl> <!-- wab跳转链接地址 --> <wabRedirectUrl>https://**.**.**.**:7071/portal/oauth2</wabRedirectUrl> <!-- 家庭冲印URL --> <familyPrintImageUrl>**.**.**.**/CaiyunPrint/servlet/caiyunLoginServlet</familyPrintImageUrl> <!-- 登录记录管理 --> <loginManagerUrl>{ose_addr}/richlifeApp/devapp/saes_CYLogin.ILogin</loginManagerUrl> <!-- 查询所在文件夹位置 --> <queryDirInfo_url>{ose_addr}/richlifeApp/devapp/saes_nd.ICatalog</queryDirInfo_url> <!-- 文件直链 --> <queryCloudLink_url>{ose_addr}/richlifeApp/devapp/saes_nd.IFileLink</queryCloudLink_url> <!-- 首页搜索功能开关 --> <search_Opening ver="b137">true</search_Opening> <!-- 互联网通行证MD5密钥 --> <cmpassport>http://**.**.**.**</cmpassport> <secretKey>26ec0ad542ec3704</secretKey> <!-- 升级互联网通行证url --> <upgredMobilePassUrl>**.**.**.**/Mcloud/proxy/umc.jsp</upgredMobilePassUrl> <!-- timeline调用地址url --> <event_url>{ose_addr}/richlifeApp/devapp/saes_timeline.IEvent</event_url> <!-- 717彩云应用软件 --> <qryaccount_url>**.**.**.**:9797/subProxyWeb/actionServlet</qryaccount_url> <getAppBackupListURL ver="b137">{ose_addr}/richlifeApp/devapp/saes_CYAPK.IBackup</getAppBackupListURL> <getMobilePassBoxURL>{cmpassport}/umcsso</getMobilePassBoxURL> <!-- 营销提供的意见反馈中心URL --> <feedback_url>http://**.**.**.**/marketPlat/feedback/feedback.jsp</feedback_url> <!-- 营销平台地址 现网 **.**.**.** --> <market_addr>**.**.**.**</market_addr> <!-- 营销广告信息 --> <advert_url>{market_addr}/mcmm/api/IAdvert</advert_url> <advertCacheTime>600</advertCacheTime> <!-- 营销消息获取间隔 --> <market_msg_interval>7200000</market_msg_interval> <!-- 免费扩充空间任务 --> <getMissonInfo_url>{market_addr}/mcmm/api/IFreeMission</getMissonInfo_url> <rptMisson_url>{market_addr}/mcmm/api/IFreeMission</rptMisson_url> <rptMisson_switch>true</rptMisson_switch> <!-- OSE公共接口类地址 --> <ICommon>{ose_addr}/richlifeApp/devapp/ICommon</ICommon> <!-- 灰度用户列表配置start --> <ABT_userlist_cacheperiod>600</ABT_userlist_cacheperiod> <!-- 灰度用户列表配置end --> <!-- 应用管理接口 start --> <registerApp>{ose_addr}/oauthApp/OAuth2/registerApp</registerApp> <updateApp>{ose_addr}/oauthApp/OAuth2/updateApp</updateApp> <deleteApp>{ose_addr}/oauthApp/OAuth2/deleteApp</deleteApp> <queryApp>{ose_addr}/oauthApp/OAuth2/queryApp</queryApp> <queryIfScope>{ose_addr}/oauthApp/OAuth2/queryIfScope</queryIfScope> <!-- 应用管理接口 end --> <!-- 新手引导 --> <new_guide_version>8</new_guide_version> <!-- WAP跳转地址 --> <mobileLink>http://**.**.**.**:7070/</mobileLink> <!-- 手机外链跳转到wap地址 --> <mobileLinkToWap>{mobileLink}portal/dl/</mobileLinkToWap> <!-- 公共账号跳转 --> <mobileLinkToPub>http://**.**.**.**:7070/portal</mobileLinkToPub> <!-- 手机外链主页跳转到wap地址 --> <mobileHomeToWap>{mobileLink}portal/common/getOutLinkByHome.action?homeID=</mobileHomeToWap> <!-- 微博广场客户端下载中转地址 --> <twitterRedirect>{mobileLink}portal/mobile.jsp</twitterRedirect> <!--上传插件OSE地址--> <ose.ndHttpAddr>http://ose.**.**.**.**:80/richlifeApp</ose.ndHttpAddr> <ose.ndHttpsAddr>https://ose.**.**.**.**:443/richlifeApp</ose.ndHttpsAddr> <app_scope>nd_cloud</app_scope> <!--用户在线反馈地址--> <feedback_url>{market_addr}/marketPlat/xmlFeedback.action</feedback_url> <outerfeedbackfileupload>{market_addr}/marketPlat/xmlFileUploadActionNew.action</outerfeedbackfileupload> <getfeedbackminpicture>{market_addr}/marketPlat/feedbackGetMinPictureNew.action </getfeedbackminpicture> <feedbackdeleteuplaodfile>{market_addr}/marketPlat/feedbackDeleteUploadFileNew.action</feedbackdeleteuplaodfile> <!-- 短信发送接口 --> <ose_sendCYSMS>{ose_addr}/richlifeApp/devapp/saes_CYMessage.IMessage</ose_sendCYSMS> <!-- 下载营销平台提供的图片及XML文件的保存地址 --> <downloadFilePath>/home/caiyun/tomcat/webapps/Mcloud/images/p/ad</downloadFilePath> <!-- 免费扩容(容量升级)入口 --> <freeMissionURL>http://**.**.**.**/portal/index_freeMission.jsp</freeMissionURL> <!-- 有福网冲印地址 --> <getLoginUrl>http://**.**.**.**/caiyun/get_login_url.php</getLoginUrl> <!-- 离线下载V2.3.0开关 --> <offLineStatus>false</offLineStatus> <!-- 彩云经验积分 --> <iRank_url>{ose_addr}/richlifeApp/devapp/saes_CYRank.IRank</iRank_url> <iRankMgmt_url>{ose_addr}/richlifeApp/devapp/saes_CYRank.IRankMgmt</iRankMgmt_url> <userRankCacheTime>60</userRankCacheTime> <levelListCacheTime>60</levelListCacheTime> <userBaseInfo_url>{order_subWeb_addr}/subProxyWeb/actionServlet</userBaseInfo_url> <aas.partner.token.login.473>*(Dkfjskdfj</aas.partner.token.login.473> <aas.partner.token.login.472>kjfdj12*(@#(R4</aas.partner.token.login.472> <aas.partner.token.login.412>kjfdj12*(@#(R4</aas.partner.token.login.412> <!-- 492pptv一键登录领取彩云空间 --> <aas.partner.token.login.492>T#ds0Ks$d2G</aas.partner.token.login.492> <!-- 490潮州OA第三方token登录 --> <aas.partner.token.login.490.clientType>490</aas.partner.token.login.490.clientType> <aas.partner.token.login.490.cpId>111</aas.partner.token.login.490.cpId> <aas.partner.token.login.490>j2$k1L*d3#H</aas.partner.token.login.490> <!-- 检查token间隔 ,秒为单位--> <keep_alive_interval>30</keep_alive_interval> <!-- 申请订阅号营业执照保存用户账号 --> <apply_pub_account>+8614000000000</apply_pub_account> <apply_pub_catalog>00019700101000000001</apply_pub_catalog> <!-- 批量转存、复制、移动最大个数 --> <maxMoveAndCopy>200</maxMoveAndCopy> <!-- 功能开关 外链屏蔽 --> <switch_2015_filelink>false</switch_2015_filelink> <!-- 一加随机数 --> <oneplusRate>10</oneplusRate></config>This XML file does not appear to have any style information associated with it. The document tree is shown below.<!-- 本地开发环境配置,在web.xml里面设置 使用此配置时,需要在web.xml文件里面设置Servlet extendsConfigPath的值为config/servrequrl_config_dev.xml 可以根据不同的环境设置不同的扩展文件,上线时需要将web.xml里面的配置值删除--><config><!-- 本地开发环境,重写CDN,版本,OSE环境等信息 --><!-- OSE服务器地址 网盘业务操作/共享/外链/保险箱/信息/同步等业务 现网 **.**.**.**:8080 N5联调 **.**.**.**:2119 N5联调 **.**.**.**:2567 N5体验 **.**.**.**:2428 N5联调 **.**.**.**:2429 --><ose_addr ver="b136">**.**.**.**:2119</ose_addr><!-- AAS服务器地址 登录/通行证票据/找回密码等业务 现网 https://**.**.**.**:8080 现网外网 https://**.**.**.**:443 N5联调 **.**.**.**:2118 插件调用 **.**.**.**:5620 --><aas_addr ver="">**.**.**.**:2118</aas_addr><!-- BMSUITE服务器地址 获取灰度用户名单 --><bmsuite_addr ver="b136">**.**.**.**:2126</bmsuite_addr><!-- 订购服务器地址 业务查询开通等 --><order_subWeb_addr ver="b136">**.**.**.**:8080</order_subWeb_addr><!-- 营销服务器地址 活动抽奖/积分/广告配置 等业务 --><market_addr>**.**.**.**:8082</market_addr><aas_addr_webnd ver="">**.**.**.**:2117/tellin/checkVersion.do</aas_addr_webnd><mobileLink>**.**.**.**:8180/</mobileLink><mobileLinkToPub>**.**.**.**:8180/portal</mobileLinkToPub><cdn_addr ver="b136">http://testM**.**.**.**</cdn_addr><code_version ver="b136">_V2.4.5</code_version><code_status>false</code_status><aas.caiyun.mailClientkey>3DF56DABC</aas.caiyun.mailClientkey><aas.bosh.servers>**.**.**.**:2700|bosh1,**.**.**.**:2701|bosh2</aas.bosh.servers><memcached_host>**.**.**.**</memcached_host><memcached_port>12001</memcached_port><memcached_Switch>true</memcached_Switch><!-- 飞信同窗鉴权 start --><fetion.app.auth>false</fetion.app.auth><fetion.app.cky>22148</fetion.app.cky><fetion.allow.page>.html</fetion.allow.page><fetion.allow.request>/portal/webdisk4fectionSafebox.jsp;/portal/webdisk4fection.jsp;vplayer4webdiskfection.jsp?src=safebox;mplayer4webdiskfection.jsp?src=safebox</fetion.allow.request><!-- 飞信同窗鉴权 end --><fetion.sso.switch>false</fetion.sso.switch><portal_index_path>http://testM**.**.**.**/Mcloud/portal/index.jsp</portal_index_path><!-- 登录页basepath --><basepath>https://testM**.**.**.**/Mcloud/</basepath><!-- 在线编辑:网达测试平台地址 --><editOnlineUrl>**.**.**.**:8080</editOnlineUrl><!-- 互联网通行证MD5密钥 --><secretKey>26ec0ad542ec3704</secretKey><!-- 717彩云应用软件 --><qryaccount_url>**.**.**.**:8080/subProxyWeb/actionServlet</qryaccount_url><twitterRedirect>**.**.**.**:9090/portal/mobile.jsp</twitterRedirect><!-- 上传插件OSE地址 --><ose.ndHttpAddr>**.**.**.**:2119/richlifeApp</ose.ndHttpAddr><ose.ndHttpsAddr>**.**.**.**:2567/richlifeApp</ose.ndHttpsAddr><aas.partner.token.login.test.clientType>472</aas.partner.token.login.test.clientType><aas.partner.token.login.test.cpId>94</aas.partner.token.login.test.cpId><aas.partner.token.login.test2.clientType>473</aas.partner.token.login.test2.clientType><aas.partner.token.login.test2.cpId>76</aas.partner.token.login.test2.cpId><aas.partner.token.login.473>*(Dkfjskdfj</aas.partner.token.login.473><aas.partner.token.login.472>L%sf*lllWenX#</aas.partner.token.login.472><apply_pub_account>13533250946</apply_pub_account><apply_pub_catalog>4q11UBEWH005009201501082323162nn</apply_pub_catalog></config>
比较失望的是,没有搜到连接数据库的信息,netstat也看了一下没有看到3306或者1433,1521等端口。可能该网站并没有直接连接数据库,只是通过一个key和一些接口进行一些调用操作。
fetion.version=2fetion.authMode=sigfetion.apiUrl=http://i.**.**.**.**/api/service#分配的appkeyfetion.appKey=8f5cd26a6ce0399fd48c39357c2660c6fetion.appSecret=f5ab3e204905e321faf2f0b0b0826596#SSOsso_appid=a1ba258742c149477a831c3a91ac7837sso_type=cytokensso_gateway=1sso_service=sso_channel=mcontact_hwcywebsso_url_reg=http://**.**.**.**/register.jsonsso_url_sign=http://**.**.**.**/login.jsonsso_url_regandsign=http://**.**.**.**/registerAndLogin.json#Open Platformopen_appkey=a1ba258742c149477a831c3a91ac7837open_platversion=1.0open_clientsdk=javaopen_url=http\://**.**.**.**/
正当我失望的时候,我发现了一个中国移动的一个小缺陷,就是明文传输,某些操作的get请求里直接把我的密码带过去了,然后我找到了该服务器每天自动备份日至的目录。找到了大量用户明文登陆的记录。
我尝试登陆几个都成功了,其中包含了移动员工自己或者是个人用户的密码。且我发现,和彩云还类似于一个统一登录的平台,通过登陆和彩云可以无需密码直接登陆跳转到其他业务
其中网盘里还有些羞羞的内容
还可以控制手机发短信噢,
标题里包含的业务我都能登进去,只要先登陆进和彩云网盘。接着,在某员工邮箱里找到了一堆移动与华为中兴的“PY交易”贝尔 admin !Admin2010!中兴 admin Admin2013!@# Admin2012!@# Admin2014!@#邦讯 admin bxo23@#$#1356国人 admin junHUN1~zhaoqianAAbb123!@#heze!@34一,wlan网管: qq号: 1624357268 1234567abc **.**.**.**:8080/wlan/login.jsp Sd@Wlan!用户名admin Boomsense@)!!123密码SDmcc@#$% heze!@34 **.**.**.**二,国人 SNMP读口令字 Sd@Wlan! 删除SNMP读写口令字 Sd@Wlan!国人AC:用户名:hzzczx密码:HZzcZx5281(HZzcZx2012)中兴AC10、11、12、24、25:用户名:icac密码:ZX(&^%6789hg中兴:AC70、71、72、73、74、75、76、77、78、79用户名:icac密码:Ztehz!@#三,邦讯用户名 :admin密码:bxo23@#$#1356AC05**.**.**.** AC07 **.**.**.**AC08 **.**.**.**四,中兴ACAC10 主AC 用户名:hzzczx 密码:HZzcZx2012**.**.**.**/AC11 主AC**.**.**.**/AC12备AC**.**.**.**/AC24 主AC**.**.**.**/五,贝尔AC 用户名:icac 密码:ic#452df!主用 SDHZE-WLAN-AC13- BEZ700 **.**.**.**/main.php 管理员hzzczxHZzcZx2012邮箱:hezewlan@**.**.**.**密码:mxd5591188ONU登录账号wlan-fzzx tp-link:yhj43215密码wlan-fzzx中兴查AP:show ap b g 中兴查信道:show run l i (mac)默认组: show ap un b 组号列表: show ap-g b ONU账户和密码:wlan-fzzx贝尔查询方法show wtp list帐号 密码 用户名caoxianwl 都是Wlan123 曹县WLANchengwuwl Wlan123 成武WLANdingtaowl Wlan123 定陶WLANkaifaquwl Wlan123 开发区WLANshanxianwl Wlan123 定陶WLANdongmingwl Wlan123 东明WLANjuanchengwl 鄄城WLANyunchengwl 郓城WLANjuyewl 巨野WLANmudanquwl 牡丹区WLAN XP系统请把附件中的注册表项添加上,然后重启电脑,建立个VPN拨号 拨号地址是**.**.**.** 拨进来 能登录所有cmnet设备、AC、ONU网管。帐号密码都是 wlan 教程如下:一,请安装ONU监控软件,不必远程即可操作。下载地址是:http://**.**.**.**/Htk3AXWLAN网管地址:**.**.**.**/wlan/用户名:sdhze密码:heze!@34多台ap的密码以及管理平台。。不一一登陆截图了看到邮件里还提到了一个EMOS平台
**.**.**.**:8082/NMMP/gis/bin-debug/InspurGuizhouMoible.jsp“山东移动网络代维管理平台”
涉及392万的用户宽带鉴权码,也不知道有什么用。。这只是其中一个用户的危害,日志每天记录,你猜猜每天能拿到多少用户登陆?
危害等级:高
漏洞Rank:11
确认时间:2016-05-16 16:20
CNVD未复现所述情况,已经转由CNCERT向中国移动集团公司通报,由其后续协调网站管理部门处置。
暂无
这波漏洞很OK 中国移动已报警
