当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0158615

漏洞标题:看我如何控制广东部分电信宽带账户敏感信息(订单与个人信息等)

相关厂商:中国电信

漏洞作者: Looke

提交时间:2015-12-07 13:22

修复时间:2016-01-23 15:16

公开时间:2016-01-23 15:16

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-07: 细节已通知厂商并且等待厂商处理中
2015-12-10: 厂商已经确认,细节仅向厂商公开
2015-12-20: 细节向核心白帽子及相关领域专家公开
2015-12-30: 细节向普通白帽子公开
2016-01-09: 细节向实习白帽子公开
2016-01-23: 细节向公众公开

简要描述:

RT

详细说明:

无意间找到了翻了翻电信的系统,找到今天的主角系统:广东电信宽带网络分销平台

**.**.**.**


怕是假冒系统,看下备案信息,的确是广东省的。

备案信息.png


0x01:好奇探索之路:
看看有没有注入,登陆有动态验证码,看来是我想多了。突然看到了重置密码,那就试试。
用账户名admin试试

找回密码1.png


先获取验证码,然后随便输入了个验证码,提交,看了看返回包,习惯性的把false修改为true,咦,还真通过了验证,不过不到最后一步怎么能算成功呢

找回密码2.png


3、输入新的密码,wooyun123,提交,内心无比激动,成功了吗?

修改密码3.png


4、这种类型的密码重置,出现在广东电信的身上,我表示震惊了下,成功了

修改密码4.png


5、抑制住刚一秒小激动,最后还是得登陆下,成功了吗?

成功登陆.png


超级管理员权限,不错不错。
0x02:步步深入之循序渐近:
1、任意添加和修改全省宽带套餐,大广东的套餐就是便宜

任意添加和修改宽带套餐.png


2、佣金审核,你交钱了吗?不用,这么客气,我来帮你过。

佣金审核.png


3、任意操作客服账号,添加,删除,修改,不知道哪个是我心中的美女。

任意修改客服账号.png


4、任意操作短信模块

任意操作短信模块.png


5、短信接口配置信息泄漏

短信接口配置信息.png


6、下发短信一览无遗

下发短信.png


7、任意操作商户信息,修改、删除、重置其密码、冻结其账号。

任意操作全省合作商.png


合作商总数.png


8、再往下翻,终于找到全省安装宽带信息,可任意查询和修改

任意操作全省所有宽带.png


近10W全省各地户宽带安装订单信息,包括用户名、身份证号码、手机号码、宽带产品名称、宽带接入账号、银行卡号、多媒体账号、CRM号、身份证证件照。

宽带订单.png


宽带订单信息2.png


身份证正面.png


可任意操作客户订单:包括修改接入账号、修改CRM账号、修改多媒体账号等等

订单操作.png


修改接入点.png


广东电信同胞,你能不能上网,我说了算,嘿嘿

漏洞证明:

0x03、冰火交加之高潮迭起
1、SQL注入
翻完了功能,看下有没有注入,找了半天没找到,最后终于找到一个。

POST /yh/distributor/distributorSelectOfJunior.do?selected=226&pselected=3&typeId=97&zxsl=zxsl HTTP/1.1
Host: **.**.**.**
Proxy-Connection: keep-alive
Content-Length: 143
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://**.**.**.**
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.86 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: http://**.**.**.**/yh/distributor/distributorSelectOfJunior.do?selected=226&pselected=3&typeId=97&zxsl=zxsl
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: JSESSIONID=5094098D23FCC8F801105EF52EE4FD21; JSESSIONID=843779D95ADCC524082D7EB8F9E220E5; Hm_lvt_b7d25053179bdfd2acea09e4b5b1f41a=1449254825; Hm_lpvt_b7d25053179bdfd2acea09e4b5b1f41a=1449293418
disType=&typeAttribute=&city=&area=&orderId=&conditions=&conditionsValue=%E5%8F%B6%E5%81%A5%E8%8B%B1*&totalPage=2536&showNumber=10&currentPage=1


conditionsValue参数存在注入

注入.png


2、秒变千万富豪不是梦
再次翻看了菜单功能,发现还有一个功能,佣金提现,只是管理员的余额为0.
于是兴起重置了提现账号记录的一个账号:ZQ000453 该账户余额90
登入账号,开始提额,发现有提现密码

提现密码.png


于是乎试下重置提现密码,如出一撤,和重置密码过程一样。于是乎拿到了提现密码。
又开始提现0.1元,这次提现是成功了,只是提到该账户绑定的银行卡里去了。

任意提现.png


那我能不能提现到我的银行卡账号呢
于是来到个从信息修改处,修改成我的信息,发现有手机验证码,怎么办呢?绕不过去,突然想起来在上面admin账号中可能查看所有下发手机验证码信息,登陆看看,果然,得到了下发的验证码。修改账户信息成功。
再次提现,还是发现不对,绑定的银行只能是广东省的银行卡,在开户地点处必须是广东省银行卡。但我没有广东的银行卡,怎么办呢
再次翻了翻了管理员账户,发现其个人信息绑定了银行卡,有了,那我把钱转到管理员的银行账号总可以了吧。

修改姓名.png


修改银行卡信息.png


重置完提现密码,修改完绑定账户信息,开始提现0.1元,最终提现成功。

成功套现.png


也就是说,只要我去开一张广东省的银行卡,我就可以变千万富豪了,想想都有些小激动呢?
哎,小子,醒醒,该交漏洞了。

修复方案:

@@

版权声明:转载请注明来源 Looke@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2015-12-10 17:54

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向中国电信集团公司通报,由其后续协调网站管理部门处置.

最新状态:

暂无