当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-013679

漏洞标题:联通adsl宽带 记录用户信息;强插广告。

相关厂商:联通adsl

漏洞作者: 路人甲

提交时间:2012-10-21 20:30

修复时间:2012-12-05 20:30

公开时间:2012-12-05 20:30

漏洞类型:恶意信息传播

危害等级:低

自评Rank:1

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-10-21: 细节已通知厂商并且等待厂商处理中
2012-10-24: 厂商已经确认,细节仅向厂商公开
2012-11-03: 细节向核心白帽子及相关领域专家公开
2012-11-13: 细节向普通白帽子公开
2012-11-23: 细节向实习白帽子公开
2012-12-05: 细节向公众公开

简要描述:

联通通过218.25.246.117这台服务器记录用户信息,通过218.25.246.118这台服务器强插广告!

详细说明:

今天打开百度时,浏览器状态栏出现cnzz的统计过程。感觉诡异,于是查看了一下源代码,下了一大跳。


上述js代码,格式化以后是这样:(部分信息进行了*处理)

<script language="javascript">
var d = "=iunm?=ifbe?=tds***uzqf>#ufyu0kb**tdsjqu#?gvodujpo!mp*uusjcvuf)*|wbs!g>epdvnfou/hfuFmfnfouCzJe)#g#*<wbs!tfswfs>#i***0032*/36/357/228;91#<wbs!sfrvjsfe>#uddb>d4mg[H:v[{BxO{d>'vsjq>3:58179479'psmv>bIS1dEpwM***6jZXmleT6kc31>'tqje>**13941'bsfb>***uddb>d4mg[H:v[{BxO{d>#<jg)tfmg/ep*vnfou/mpdbujpo>>xjo**px/epdvn**u/VSM!''!epdvnfou/cpe***ouXjeui?";
function i(_, __) {
    _ += __;
    var $ = "";
    for (var u = 0; u < _.length; u++) {
        var r = _.charCodeAt(u);
        $ += String.fromCharCode(r - 1);
    }
    return $;
}
var c = ">611!''!epdvnfou/cpez/dmjfouIfjhiu?>611*|g/tsd>tfs***#0b0l@#,sf***sfe,#'luzqf>1'lxje>1'xuzqf>91'xtje>438#<~fmtf**tsd>tfswfs,#0b0q@#,sfrvjsfe,***mbh>1#<~~=0tdsjqu?=0ifbe?=cpez!pompb***beBuusjcvu***!sjh**Nbshjo>1!upqNbshjo>1!mfguNbshjo>1!tdspmm>op?=jgsbnf!je>#g#!gsbnfCpsefs>1!xjeui>211&!ifjhiu>211&!tds***joh>bvup!tsd>##?=0jgsbn**=0cpez?=0iunm?";
document.write(i(d, c));
</script>


解码之后是这样:

<iframe id="f" width="100%" scrolling="auto" height="100%" frameborder="0" src="http://218.25.246.117:80/a/k?tcca=c3l**G9u**AwNzc=&urip=294**68**8&orlu=aHR0cDo******iYWlkdS5jb20=&spid=20**102***&area=1*6&tcca=c3l****9uZzAwNzc=&ktype=0&kwid=0&wtype=80&wsid=3**">


百度了一下218.25.246.117 ,发现是联通的服务器!
对这个地址进行抓包,发现第二次访问该地址不会又特殊操作,只是302弹回百度。(也就是说,记录用户行为的代码会随机出现)
抓到的数据包:HTTP/1.1 302 Moved Temporarily..Date: Sun, 21 Oct 2012 05:45:18 GMT..Server: Apache/2.2.11 (Unix) DAV/2 mod_jk/1.2.26..Location: http://www.baidu.com?ts=1350798318..Content-Length: 0..MS-Author-Via: DAV..Connection: close..Content-Type: text/plain....
不断的更换IP,清空cookie,反复尝试,希望统计代码再次出现。没想到这次弹的是广告,代码差不多,是另一台服务器:
第二次访问百度,出现的加密代码:

<script>var d="=iunm?=ifbe?****zqf>#ufyu0kbwbtdsjqu#?gvodujpo!mpbeBuusjcvuf)*|wbs!g>epdvnfou/hfuFmfnfouCzJe)#g#*<wbs!tfswfs>#iuuq;0****36/357/229;91#<wbs!sfrvjsfe>#be****11695'uddb>d4mg[H:v[{BxO{d>****q>3:581816:5'p****S1dEpwM4e4ez6jZXmleT6kc31>'tqje>51:4:362:****b>257'ut>24618:::53#<jg)t****vnfou/mpdbujpo>>xjoepx/epdvnfou/VSM!''!epdvnfou/cpe****fouXjeui?>611!''!epdvnfou/c****jfouIfjhiu?>611*|g/tsd>tfsw****0t";function i(_,__){_+=__;var $="";for(var u=0;u<_.length;u++){var r=_.charCodeAt(u);$+=String.fromCharCode(r-1);}return $;} var c="@g>betuzmf`ud/iunm'#,sfrvjsfe,#'bpsmv>bIS1dEpwM3Jvbn:ybXGwMnOwcT:i[INwcHmic36qcnd>'q2bsn>411'q3bsn>411'q4bsn>61'q5bsn>4'q6bsn>4'q7bsn>2'bqqe>1'ibtDpvou>2'ibtXijufVtfs>2#<~fmtf|g/tsd>tfswfs,#0b0q@#,sfrvjsfe,#'qvtiGmbh>1#<~~=0tdsjqu?=0ifbe?=cpez!pompbe>#mp****jcvuf)*#!sjhiuNbshjo>1!upqNbshjo>1!mfguNbshjo>1!tdspmm>op?=jgsbnf!je>#g#!gsbnfCpsefs>1!xjeui>2****jhiu>211&!tdspmmjoh>bvup!tsd>##?=0jgsbnf?=0cpez?=0iunm?";document.write(i(d,c));</script>


解密之后:

<iframe id="f" width="100%" scrolling="auto" height="100%" frameborder="0" src="http://218.25.246.118:80/a/p?adid=2***84&tcca=c3lfZ***ZzAwNzc=&urip=29470***94&orlu=aHR0cD***3d3dy5iYW***S5jb20=&spid=409***5190&area=146&ts=1350799***&pushFlag=0">


这次进行了完整的数据包记录。我只是打开了一下百度首页,却默默的执行了这么多操作!




注意,cnzz的统计代码



看到了cnzz的统计页面地址,打开看看


!!!

漏洞证明:

修复方案:

停止劫持行为。
停止统计用户的行为。
停止强插广告的行为。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2012-10-24 21:41

厂商回复:

CNCERT/CNVD暂未在实例中复现(可遇而不可求),针对用户曾经投诉过的可能涉及基础电信运营企业push系统异常的事件,在近几年来的案例中未能直接确认异常行为的发起源,以CNCERT当前技术能力和职能范围暂未能完善处置。
rank 10.

最新状态:

暂无