当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0173517

漏洞标题:中国联通某漏洞可以登录联通重要管理系统X7(BSS\CBSS\ESS\业务支撑系统)可看全国身份证\任意充值话费流量\补卡换卡\紧急停机等

相关厂商:中国联通

漏洞作者: 殺器王子

提交时间:2016-01-29 09:52

修复时间:2016-03-14 15:10

公开时间:2016-03-14 15:10

漏洞类型:系统/服务补丁不及时

危害等级:高

自评Rank:13

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-29: 细节已通知厂商并且等待厂商处理中
2016-01-29: 厂商已经确认,细节仅向厂商公开
2016-02-08: 细节向核心白帽子及相关领域专家公开
2016-02-18: 细节向普通白帽子公开
2016-02-28: 细节向实习白帽子公开
2016-03-14: 细节向公众公开

简要描述:

附上大V高清无码照片。

详细说明:

无意间得到一份说明书,

1.png


其中提到中国联通提到有个ASS系统,里面是一个业务管理后台门户系统。而且因为密码是通用的,所以也能同时登录其他业务系统。

2.png


通过访问源码页面,判断是jsp环境,用红老师的杀器试了试命令执行,卧槽,果然存在。

3.png


直接写入一句话。

shell.png


翻了翻数据库配置

connection.driverClassName=oracle.jdbc.driver.OracleDriver
connection.url=jdbc:oracle:thin:@**.**.**.**:1521:oracrm1
connection.username=crm2
connection.password=crm2kf


<url>jdbc:oracle:thin:@**.**.**.**:1521:additdb</url>
    <driver-name>oracle.jdbc.OracleDriver</driver-name>
    <properties>
      <property>
        <name>user</name>
        <value>tysl</value>
      </property>
    </properties>
    <password-encrypted>{AES}FbhacitNs3zHWQjGFwmWzMFlQKiOLIo0wnoJ0nOwbd4=</password-encrypted>


<property name="url">
			<value>jdbc:oracle:thin:@**.**.**.**:1531:orajf10</value>
		</property>
		<property name="username">
			<value>ass</value>
		</property>
		<property name="password">
			<value>ass</value>


某些内网接口

<properties>
<!--  是否需要进行数据库的字符转换  -->
<set-property property="NEED_CONVERT" value="FALSE"/>
<!--  应用程序当前的运行状态,有DEBUG和LIVE2种选择  -->
<set-property property="APP_STATUS" value="DEBUG"/>
<!--  不同系统对应的web服务器IP  -->
<!--  crm1  -->
<set-property property="SYSTEM_ADDR_01" value="**.**.**.**:8001/unibss"/>
<!--  crm2  -->
<set-property property="SYSTEM_ADDR_02" value="**.**.**.**:7001/Frame"/>
<!--  监控  -->
<set-property property="SYSTEM_ADDR_03" value="**.**.**.**:7001/Frame"/>
<!--  积分  -->
<set-property property="SYSTEM_ADDR_04" value="**.**.**.**:7001/Frame"/>
<!--  代理商BSS  -->
<set-property property="AGENT_BSS_URL" value="**.**.**.**/unibss"/>
<!--  客服同步省份  -->
<set-property property="KF_PROVINCE" value=",zhejiang,hunan,"/>
<set-property property="KF_CUR_PROVINCE" value=",zhejiang,"/>
<!--  助销系统地址  -->
<set-property property="AS_SYSTEM_ADDR" value="**.**.**.**:7001/unibss"/>
<!--  外部WEBSERVICE调用链接  -->
<!--  客服接口-创建工号  -->
<set-property property="WEBSERVICE_KF_CREATE_USER" value="**.**.**.**:7001/axis/services/CreateUserCode"/>
<!--  客服接口-注销工号  -->
<set-property property="WEBSERVICE_KF_DELETE_USER" value="**.**.**.**:7001/axis/services/DeleteUserCode"/>
<!--  客服接口-查询工单  -->
<set-property property="WEBSERVICE_KF_QUERY_SHEET" value="**.**.**.**:7001/axis/services/QuerySheet"/>
<!--  客服接口-投诉平台  -->
<set-property property="WEBSERVICE_CRM_COMPLAIN" value="**.**.**.**:8980/zjsheet/sheet/portal.do"/>
<!--  客服接口-知识库平台  -->
<set-property property="WEBSERVICE_CRM_KNOW" value="**.**.**.**:8080/login.do"/>
<!--  鉴权平台接口  -->
<set-property property="WEBSERVICE_AUTH" value="**.**.**.**:8088/

漏洞证明:

涉及多个内网数据库我就不一一连接了

jm.png

58.png

解密以后。连接以后

sjk.png


共泄漏了12181个 工号以及密码可登录多个系统,

ebss(1.10-2.0)
ess,
cbss
ass
woego,


bss.png

BSS系统

user:G40524     pass:1Q2W3E-=


sjh.png

ASS系统 据说可以查用户对应信息

ityj.png

IT响应系统
其中it响应系统有任意上传漏洞,可以拿webshell

sc1.png

B域名系统的新建工单处可以上传任意文件。返回的真正路径为

uflow/upload/20160129/w1y.jspx


s2.png


sc1.png


sc2.png

root权限可以再进内网

ess1.10.png

ESS1.10系统,2.0为六大省管理系统,不知道是否也能登录

USER:GE8762      PASS:Sjunyue75^


sfz1.png


USER:AE162818 PASS:!Q2w3e4r


mayun.jpg

只要有手机号,就能定位到身份证,好可怕!话说马云没什么变化啊。。。。

lj.png

how are you?you no ok?
cbss系统权限很大,好玩的东西也多。

shcx.jpg

可查水表的三户查询系统

lyq.png

神奇的联通路由器查询功能,能改路由器同步接口信息。

lyxg.png


sc2.png

修复方案:

msf.png

版权声明:转载请注明来源 殺器王子@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2016-01-29 15:40

厂商回复:

CNVD确认所述情况,已经转由CNCERT向中国联通集团公司通报,由其后续协调网站管理单位处置。风险涉及外网多个业务系统,rank 20

最新状态:

暂无