WooYun.org

首先进入中国电信189的CRM
中国电信4G营业受理
http://crm.189.cn/ltePortal/
通过社工得到一个工号，但是没有密码。
进入重置密码页面
选择地区，输入工号和验证码

现在要输入手机验证码了

随意输入，提交抓包
现在的response是

{"successed":false,"code":1,"data":"验证码错误"

改为

{"successed":true,"code":0,"data":"验证码错误"</

可以输入新密码了呵呵

改为
w00yun

登陆需要手机验证码，这一步不能用之前的方法了。
我们直接爆破吧
爆破出结果，把爆破结果的整个response复制下来，提交验证码抓包修改response。（因为包含了cookie和token）

这里限制了验证码尝试3次，但是只要用的是同一个请求则不限制次数（请求中有参数可以判断）
进入CRM

查询用户的产品信息
信息包括：姓名、套餐、业务开通和使用历史 、终端领用情况等等

这里有个细节要注意
查询的时候，请求里会有areaId，这是个必须和号码归属地匹配的参数，在登陆页的源代码里可以获取到，例如福建厦门
直接在登陆页面选择地区为：福建>厦门，然后源码里就有了

能给任意号码办套餐

能给用户送流量包

功能真不少啊

接下来重头戏，查询全国电信用户身份信息了
在刚才对业务功能的探测中我发现一个接口可以任意查询

POST /provPortal/cust/queryCust HTTP/1.1
Host: crm.189.cn:84
POST DATA：{"acctNbr":"15396213305","identityCd":"","identityNum":"","partyName":"","diffPlace":"local","areaId":"8350200","queryType":"","queryTypeValue":"","identidies_type":"接入号码 "}

其中的acctNbr是接入号码也就是手机号码，areaId对应这个号码的归属地，前面我们说过怎么获取了。
查了几个号码作为测试

也可以根据以下信息查号码：
接入号码
合同号
客户编码
社会团体法人登记证书
港澳居民来往内地通行证
台湾居民来往内地通行证
临时居民身份证
外国公民护照单位介绍信公函+公章(仅用于党政军客户)
组织机构代码
武装警察身份证件
居民身份证事业单位法人证书
营业执照
户口簿
军人身份证件
大批量获取公民信息的思路：
根据号段生成一个PhoneNumberList，和areaId参数匹配，然后批量抓取response正则匹配出所有关键信息。完全可行，机场网络差搞不了太多。就给个证明吧