当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0132382

漏洞标题:中国电信网厅核心业务系统沦陷/可漫游机房/海量用户

相关厂商:中国电信

漏洞作者: 小饼仔

提交时间:2015-08-07 15:10

修复时间:2015-09-25 13:56

公开时间:2015-09-25 13:56

漏洞类型:后台弱口令

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-07: 细节已通知厂商并且等待厂商处理中
2015-08-11: 厂商已经确认,细节仅向厂商公开
2015-08-21: 细节向核心白帽子及相关领域专家公开
2015-08-31: 细节向普通白帽子公开
2015-09-10: 细节向实习白帽子公开
2015-09-25: 细节向公众公开

简要描述:

中国电信2015年6月份运营数据,用户总数达1.9144亿
哎 打雷咯

详细说明:

1. 起因
之前发现过一个中国电信的系统,利用某种方式获取到一个账号,成功登陆,发现存在任意文件上传,无限制,直接拿了shell,接着看了看机器上面有什么东西,发现了还部署了其他几个系统,有外网域名,顺手都留了个shell(貌似有点无耻)。接着提了下权,看了看数据库配置、.bash_history等等。扫了下内网22端口,发现同一网段的主机还挺多,用之前搜集到的信息爆了下ssh,成功登陆几台。后来因为时间原因,渗透就没继续,直接提交了wooyun,结果提交的时候,这个系统被厂商部署到另一个网段的机器上去了,且和之前的不能ping通,最后给了个中危
2. 经过
某周末闲来无事,翻开我那小记事本,找到了前面提到的其他系统留的shell,继续看看有什么可以挖的,然后尝试各种方法渗透,同一网段有很多系统,感觉看名字都比较重要,找了下是否有注入等漏洞,大多无果或不好利用,哎
3. 转折点
有点不甘心,静下心来仔细再回顾了下已经发现的信息,找一下是否有遗漏的点。突然脑子一转,发现了机器上有装zabbix client,估计有戏,看了下配置文件,找到zabbix server的ip。挂上代理访问了下,需要账号密码,尝试弱口令,成功登陆管理员账号,里面各网段的机器一览无遗,算了下,有300+的机器```。常言道,不拿shell的漏洞不是好漏洞~,搜了下,发现zabbix里可以执行命令,whoami下,居然是root权限。果断直接添加用户,ssh登陆。
4.高潮
zabbix弱口令登陆,命令执行成功,拿了shell。本以为可以结束了,结果···,发现了上面有svn,然后打开一看,心脏不好,居然有电信189网上营业厅各核心业务系统前后台的开发代码和线上代码,还有各种文档,内容包括测试机和线上机器的root账号密码,各个系统的功能说明,和所部署的机器说明,还有办公网信息等等,内容详细到你无法直视的···。
5. 危害
有了这些信息,整个189网上营业厅基本上等于沦陷了。而且用户量近2亿,影响不言而喻。下面列举一些比较典型的危害
* 不需要登陆,后台直接查询某个号码的机主信息(姓名、住址、身份证号等),通话和短信记录(只有拨打记录和发送记录,没有内容,小部分省市未测试成功)
* 不需要登陆办理各种业务
* 查看网上营业厅所有订单信息
....
只要网上营业厅能做的,基本应该都可以(时间原因未一一测试),毕竟代码文档都有
6. 声明
这里说明一下,之后的测试仅仅是为了证明问题,没有做任何破坏,下载的代码和文档已经删除,切勿查水表。

漏洞证明:

因为信息比较敏感,已尽量打码,需要密码等相关信息复现的,可留言
ps. 电信的运维和开发看到图片应该就知道是什么了
shell地址,密码这里不贴了

http://wt.10006.info/report/bbgl_fans_jy_.jsp


利用内网代理,访问zabbix server

http://172.16.*.*/zabbix/


账号密码这里不贴了,成功登陆
300+台机器

1_副本.png


2_副本.png


2_副本.png


zabbix拿shell参考
WooYun: sohu的zabbix,可导致内网渗透
因为whoami显示root,这里直接添加了个root权限用户
ssh登陆

4_副本.png


看下svn里面的东西
svn有两个目录,里面有
* 各核心业务系统的测试和线上代码
* 线上机器和测试机器的root密码
* 办公系统相关资料
* 自动化测试相关资料
* 等等
PS.svn账号密码会明文存储在~/.subversion/auth/svn.simple目录下
第一个/app/svnbushuzu 这里放了开发和线上机器的账号密码,和各系统部署说明文档等

5_副本.png


下面列一下两个非常重要的文档
主机账号及密码:各主机的账号密码(包括root)

7_副本.png

8_副本.png

9_副本.png

10_副本.png


系统一览表:介绍每个业务部署在哪台机器上

12_副本.png

13_副本.png

14_副本.png

15_副本.png

16_副本.png

17_副本.png

18_副本.png


第二个 /app/svngolive 这里放的是各核心业务系统的代码

6_副本.png


还有一些办公系统的,这里就不贴了
到这里,基本可以控制整个电信网厅核心业务和系统了。
危害证明
1. 查全国任意电信手机号机主信息
上海电信号 13311678888

sh.png


北京电信号 18910777890

bj.png


湖南电信号 18975899898

HN.png


2. 查通话记录(少部分省市未成功)
号码和记录都已打码
甘肃电信号

GS.png


浙江电信号

ZJ.png


江西电信号

jx.jpg


其他的功能,因为有可能会影响业务和用户使用,这里已经证明了危害,就不再深入测试了

修复方案:

突破口在弱口令

版权声明:转载请注明来源 小饼仔@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2015-08-11 13:55

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向中国电信集团公司通报,由其后续协调网站管理部门处置.

最新状态:

暂无