当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-087462

漏洞标题:某网络电话云端漏洞可实现强制实现午夜惊魂

相关厂商:华夏亿信

漏洞作者: Arthur

提交时间:2014-12-17 09:11

修复时间:2015-03-17 09:12

公开时间:2015-03-17 09:12

漏洞类型:设计错误/逻辑缺陷

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-12-17: 细节已通知厂商并且等待厂商处理中
2014-12-22: 厂商已经确认,细节仅向厂商公开
2014-12-25: 细节向第三方安全合作伙伴开放
2015-02-15: 细节向核心白帽子及相关领域专家公开
2015-02-25: 细节向普通白帽子公开
2015-03-07: 细节向实习白帽子公开
2015-03-17: 细节向公众公开

简要描述:

随着科技的发展,相信以后网络电话也会成为一种交流的趋势。在这里给各位厂商打一个预防针。

详细说明:

今天测试的一款网络电话,叫做华夏亿信。朋友之前做过代理,说是与电信,联通,移动一起做的一个项目。(左下角那个APP,壁纸是我女友,不是我)

QQ截图20141216230337.jpg


官方网站:http://www.huaxiayixin.com/

漏洞证明:

打开这款网络电话之后,输入你注册的账号,验证之后随便选择一个联系人拨打电话。

3.jpg


这个时候进行抓包,抓到以下代码

1.jpg


其中a参数代表的是你自己的号码,b参数代表的是你拨打的号码。
比如说我通过这个APP拨打了一个电话给我女朋友,在发送完这段数据包之后,我的手机会接到一个匿名来电。在我接起这个匿名来电的时候,我女朋友就会接到我的电话。
原理(来自百度知道):网络电话原理:网关将PSTN和Internet/Intranet连接起来,网关一侧连接Internet,另一侧与PSTN相连。它能够把来自Internet网的网络包经过解包、解压缩后,经过数/模变换成模拟语音信号传送给PSTN;也能够把来自PSTN的电话语音信号经过模/数转换,压缩后打成适合在Internet中传送的网络包,送往Internet传输。用户使用通电话首先拨打网络电话网关的市话号码,然后类似于使用300卡智能网业务,输入账号和密码,网络网关对用户确认后,根据用户拨打的被叫用户的电话号码寻找一条最佳路由,连接到最接近被叫电话的网关,最后由该网关实现对被叫用户的呼叫,至此网络电话原理已经明了,两普通电话用户便可以经过Internet/Intranet进行通话。
那么我们是否可以这么构建?
场景模拟中。。。。。
某天,路人甲走在大街上,莫名其妙的110打电话过来了。
路人甲:你好,请问是要查水表吗?
110:不是你打我的号码吗?
路人甲:不是你自己打过来的吗?
110:........
在前几秒中,路人乙坐在电脑前,闲着无聊,打开了某款网络电话。拨打其中一位联系人时开始抓包,把A参数更改为110,同时又把B参数改为路人甲的手机号。然后110报警平台先接到路人甲的电话,同时路人甲也接到110的电话。乌龙事件就这么发生了。
如果你没有充值过这款网络电话,那么还好。如果充值过了,那么每分钟你都的通话都是要扣费的。
本人在实际测试中已经成功。但是女友的手机呼出去后我接收不到她的来电,原因是她没有在该网址注册过。
下面问题就来了,到底谁充值过这款网络电话?怎么强行帮他人注册?
没事,注入一下。
mysql账号和密码: 5fe7d2f975db63f2 | root
root权限,4个数据库完全访问。添加任意手机号没什么问题了。

Database: mysql
[17 tables]
+---------------------------------------+
| columns_priv                          |
| db                                    |
| func                                  |
| help_category                         |
| help_keyword                          |
| help_relation                         |
| help_topic                            |
| host                                  |
| proc                                  |
| procs_priv                            |
| tables_priv                           |
| time_zone                             |
| time_zone_leap_second                 |
| time_zone_name                        |
| time_zone_transition                  |
| time_zone_transition_type             |
| user                                  |
+---------------------------------------+
Database: information_schema
[17 tables]
+---------------------------------------+
| CHARACTER_SETS                        |
| COLLATIONS                            |
| COLLATION_CHARACTER_SET_APPLICABILITY |
| COLUMNS                               |
| COLUMN_PRIVILEGES                     |
| KEY_COLUMN_USAGE                      |
| PROFILING                             |
| ROUTINES                              |
| SCHEMATA                              |
| SCHEMA_PRIVILEGES                     |
| STATISTICS                            |
| TABLES                                |
| TABLE_CONSTRAINTS                     |
| TABLE_PRIVILEGES                      |
| TRIGGERS                              |
| USER_PRIVILEGES                       |
| VIEWS                                 |
+---------------------------------------+
Database: astgodb
[102 tables]
+---------------------------------------+
| acct                                  |
| acct_gatewaygroup                     |
| acct_ratepackage                      |
| acct_user                             |
| acct_user_consumerpackage             |
| acct_user_periodrate                  |
| acct_user_ratepackage                 |
| accttype                              |
| agent_vouchercard                     |
| ast_log                               |
| ast_reload                            |
| astgo_login_try                       |
| astgo_urlmenu                         |
| btobtel                               |
| btobtellist                           |
| callback_bindtel                      |
| callback_book                         |
| calleegroup                           |
| calleelist                            |
| callergroup                           |
| callerlist                            |
| calllist                              |
| cbsubmit                              |
| cbsubmitex                            |
| cbsubmitex1                           |
| cbsubmitivr                           |
| cc_authority                          |
| cc_blacklist                          |
| cc_brecord                            |
| cc_callerlist                         |
| cc_config                             |
| cc_customer                           |
| cc_customer_list                      |
| cc_ivr_call                           |
| cc_ivr_flow                           |
| cc_ivr_flowlist                       |
| cc_outcalltask                        |
| cc_sendsms                            |
| cc_sendsmstask                        |
| cc_sms                                |
| cc_submit_call                        |
| cc_submit_sms                         |
| cc_vocfiles                           |
| cdr201410                             |
| cdr201411                             |
| cdr201412                             |
| click_call_submit                     |
| conference_call_submit                |
| consumerpackage                       |
| consumerpackage_log                   |
| cost201410                            |
| cost201411                            |
| cost201412                            |
| crm_businesstype                      |
| crm_cdr                               |
| crm_customer_information              |
| crm_fax_revlist                       |
| crm_outcall_task                      |
| crm_userstate_log                     |
| crm_workorder                         |
| fax_outcall_task                      |
| fax_ratepackage                       |
| fax_timeline                          |
| gateway                               |
| gatewaygroup                          |
| gatewaygrouplist                      |
| gatewaypolicy                         |
| httpcallsubmit                        |
| inboundcode                           |
| inboundcodetype                       |
| mobileparycode                        |
| musiconhold                           |
| musiconhold_list                      |
| partcodes                             |
| pay_config                            |
| pay_softphone_list                    |
| paydirect                             |
| phone_imei                            |
| pub_config                            |
| queue_member_table                    |
| queue_table                           |
| rate                                  |
| rategroup                             |
| rategrouplist                         |
| ratepackage                           |
| recommend_getfee                      |
| reg_getfee                            |
| sip_bindexten_buddies                 |
| sip_reg_error_count                   |
| sms_cdr                               |
| sms_send_submit                       |
| speeddial                             |
| syslog                                |
| tiffiles                              |
| trunkbill                             |
| trunkbillpartcodes                    |
| ttsfiles                              |
| version                               |
| voicefiles                            |
| vouchercard                           |
| vouchercard_ratepackage               |
| voucherlog                            |
+---------------------------------------+

修复方案:

在网络电话服务端做好验证和防注入等等措施。
PS:送一封感谢信可好?

版权声明:转载请注明来源 Arthur@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2014-12-22 08:12

厂商回复:

CNVD确认所述情况(未直接复现),由CNVD向软件开发厂商公开邮箱通报.

最新状态:

暂无