当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0152687

漏洞标题:中国电信某处奇葩漏洞可批量登录/可给任意手机号发送短信/海量历史机票订单超详细(实时更新)

相关厂商:中国电信

漏洞作者: 路人甲

提交时间:2015-11-07 23:46

修复时间:2015-12-26 10:42

公开时间:2015-12-26 10:42

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-11-07: 细节已通知厂商并且等待厂商处理中
2015-11-11: 厂商已经确认,细节仅向厂商公开
2015-11-21: 细节向核心白帽子及相关领域专家公开
2015-12-01: 细节向普通白帽子公开
2015-12-11: 细节向实习白帽子公开
2015-12-26: 细节向公众公开

简要描述:

奇葩漏洞导致的灾难:可任意手机号(移动、联通、电信均可)发送短信,可查部分信息含姓名/手机号/身份证号/PNR码/护照/银行卡开户行/卡号/地址/邮箱等。
可否来点雷声掌声?

详细说明:

中国电信机票运营系统好奇葩的漏洞,且看详细。

0x00 此处应该mask咯
**.**.**.**/Home/LogIn

任何系统管理员账号总是首当其冲的,此刻也不例外。

hbadmin

小样 没验证码,嗯作死啦,来上我的祖传大字典。可是,等我上完大字典我就诧异了!看图:

302.png

竟然这么多302跳转,说明了啥?一个账号这么多密码均可以登录成功!好奇葩,到底是啥验证逻辑~

hbadmin可登陆成功的密码列表(mask一下咯):
abc123
abc123.
abc.123
abc123..
abc..123
abc123...
abc...123
abc123++
abc++123
abc123,./
abc,./123
abc.123.
abc123.+
abc123??
abc??123
abc123?
abc?123
abc,.123
abc123,.
abc123.,
abc.,123

进去了看看功能吧。批量登录后边再提。
————————————————————华丽分割线——————————————————————

main.png

qx.png

管理员权限。可根据客户id/姓名/手机号任意查询

dxper.png

0x01 用户个人信息

输入客户id查询抓包,遍历客户id,看返回包信息:姓名、身份证号码、手机号、卡号等,目测至少100万可查:

DXpersonInfo.png

100万开外离散可查不连续了(呀呀 高等数学术语都用上了)

DXpersonInfo2.png

0x02 海量机票订单信息(实时更新!)

dd.png

其中看到了PNR码,来百度百科一下。

PNR是旅客订座记录,即Passenger Name Record的缩写,它反映了旅客的航程,航班座位占用的数量,及旅客信息。适用民航订座系统。一个PNR记录了旅客订座的完整信息, 计算机赋于每个PNR一个编号,也称订座记录编号。
一个PNR由以下几项组成:
1.姓名组 2.航段组 3.团体情况 4.联系地址 5.出票情况 6.邮票地址组7. 开帐地址组 8.票价情况组 9.辅助项目组(订旅馆、出租飞机、地面运输服务、出租车)10.特殊服务组 11.其他服务情况组 12. 备注13.责任组

也就是说拿到了PNR码可以查到旅客的全部信息。查看订单详情:

xq.png

点击PNR码,可查订单详情/订单支付日志/短信发送日志:

dx14.png

dx9.png

dx7.png

dx8.png

短信日志包含各种敏感信息:姓名、手机号、证件号码、通行证、生日、支付宝等。

dx18.png

dx19.png

dx20.png

dx21.png

0x03 可操作订单(锁定/解锁/取消订单/修改订单/派单/返单/退票/出票等),让未登机人员登不了机!!

cz1.png

cz2.png

cz3.png

tp.png

0x04 邮寄单泄露姓名/地址/联系方式

yj.png

0x05 各种报表

bb.png

0x06 短信发送日志查询

dxrz.png

dx000.png

————————————————————华丽分割线——————————————————————

【0x07 可给任意手机号发送短信,可用于钓鱼欺诈!】

duanxin1.png

duanxin2.png

dxxx.png

————————————————————华丽分割线——————————————————————
拿到员工列表 呵呵~进一步测试出

majiaoyun

同样的密码列表可登录(mask一下咯)。

abc123
abc123.
abc.123
abc123..
abc..123
abc123...
abc...123
abc123++
abc++123
abc123,./
abc,./123
abc.123.
abc123.+
abc123??
abc??123
abc123?
abc?123
abc,.123
abc123,.
abc123.,
abc.,123

另,测试出其他的50例弱口令(密码均为123456),含不少管理员。弱口令账户如下(此处应该mask一下咯):

zouyun
yuanhaifeng
huangxytz
wangmating
88136111
88136070
88136006
88136001
88136108
88136103
88136101
88136100
88136081
88136075
88136074
88136069
88136068
88136061
88136059
88136054
88136053
88136052
88136043
88136037
88136036
88136035
88136034
88136033
88136032
88136031
88136030
88136029
88136028
88136027
88136023
88136021
88136020
88136019
88136018
88136017
88136016
88136009
88136008
88136010
88136005
88136011
88136007
88136004
88136012
88136003
88136013

不明白为啥管理员真多!

gly.png

以上可登陆的账号不一一登录啦!

漏洞证明:

如上好多图,好累。审核辛苦!

修复方案:

1.神马验证逻辑 多个密码都可以登录成功,开发打屁屁吧!
2.无验证码是硬伤;
3.弱口令改之;
4.所有账户改密码;
5.为啥这么多管理员;

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-11-11 10:40

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向中国电信集团公司通报,由其后续协调网站管理部门处置.

最新状态:

暂无