当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0207060

漏洞标题:亿安天下客服系统沦陷(泄漏大量用户姓名/手机号/录音)办公系统均沦陷(泄漏大量用户敏感信息/姓名/手机号/身份证号/地址/ip/可以开通/续费/停止宽带/已经shell)

相关厂商:北京亿安天下网络科技有限公司

漏洞作者: px1624

提交时间:2016-05-12 20:10

修复时间:2016-06-30 12:20

公开时间:2016-06-30 12:20

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-05-12: 细节已通知厂商并且等待厂商处理中
2016-05-16: 厂商已经确认,细节仅向厂商公开
2016-05-26: 细节向核心白帽子及相关领域专家公开
2016-06-05: 细节向普通白帽子公开
2016-06-15: 细节向实习白帽子公开
2016-06-30: 细节向公众公开

简要描述:

客户主要在北京,覆盖全国,1w多个客户吧,有很多是写字楼,公司,业务有端口及链路租用,专线、托管、小区宽带等。看了下,客户很多都是一些还蛮有名的公司额~
2个系统是2个单独的系统,分别在2个不同的服务器上,乌云让打包在一起发,那就打包下吧。

详细说明:

首先是客服系统 http://**.**.**.**/

0.png


登录功能设计缺陷,可以爆破,成功爆破出一枚弱口令。
zhangli zhangli
登录后台,大量敏感信息。

1.png


大量的姓名、手机号、录音等信息。并且很多录音都是来问密码的,听了之后,就知道客户的密码是啥了啊!

2.png


3.png


4.png


然后后台用户名列表

5.png


看到了admin,点击编辑,可以直接看到明文密码。

6.png


不过登录后发现,这个admin的权限还不如zhangli啊~

7.png


下面是办公系统 http://**.**.**.**/manager/login.php
选择管理员登录,测试发现存在盲注,但是应该是由于帐号密码是单独判断的,所以万能密码不能直接登入。那么就sqlmap跑一下吧:

available databases [7]:
[*] baoxiao
[*] cneannew
[*] daoru
[*] information_schema
[*] mysql
[*] radius
[*] tuoguan


7个数据库,找到了管理员的帐号密码
admin 07ba656f73b5ed2bae413f08d7845077
解密后为
admin vgs02i
成功登录超管权限进入系统:
超管权限的后台权限很大,我随便截图一些证明下吧。
开通宽带:

1.png


用户宽带的续费、修改、删除等操作。

2.png


大量用户的姓名、手机号、地址等信息。

3.png


可以对在线用户实行 下线、挂起操作,也就是时时断网的权限。

4.png


然后我好奇,点了一下上图中的 导出网监数据 的选项,顿时吓尿了!
一万多个用户的信息,包括姓名、手机号、身份证号、装机地点、用户imsi帐号全部历历在目!奉劝大家还是要做个好人啊,这功能就是查水表专用啊!

5.png


总计收入了137亿了,土豪啊!

6.png


然后财务收支、报表等信息也全有

7.png


8.png


后台的其他100多个帐号也可以随便操作。

9.png


订单信息也历历在目,可以随便操作。

10.png


11.png


集团公司类的客户有739个,很多都是蛮有名的大公司!

12.png


ip信息

13.png


还有小区管理员功能,也可以随便操作

14.png


点击修改,F12可以直接看到小区管理员的密码,基本上都是弱口令,记得修改吧。

15.png


大量的合同信息泄漏 http://**.**.**.**/manager/contract/index.php

22.png


点击修改,进入详情,可以看到合同扫描件信息,也可以随便修改。http://**.**.**.**/manager/contract/contract_modify.php?id=311

16 (2).png


然后,上传位置没有限制,可以直接传木马,进行shell

16.png


很轻松就shell了

17.png


服务器一共5个站,其他4个基本都是纯展示,有2个有数据库,但是没有配置,应该是测试站。

18.png


额,最后忘了说了,可以看到1万多个用户任意的帐号密码等信息。在订单管理功能处~

19.png

漏洞证明:

OK就这样,证明如上。客户里面还有很多都是比较有名的公司呢,问题很严重啊!

修复方案:

客服系统:
1 修改登录可以爆破的缺陷问题
2 修改弱口令密码
3 修改后台用户的密码明文保存并且可以被读取的问题
办公系统:
1 修改sql漏洞
2 修改弱口令密码
3 修改上传点没限制可以传木马shell的问题

版权声明:转载请注明来源 px1624@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2016-05-16 12:12

厂商回复:

CNVD未直接复现所述情况,暂未建立与网站管理单位的直接处置渠道,待认领。

最新状态:

暂无