当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0207768

漏洞标题:运营商安全之中国移动飞信某系统可getshll泄漏用户密码(可影响139邮箱/咪咕音乐/飞信/和留言/和笔记/和通讯录/飞信))

相关厂商:飞信

漏洞作者: 路人甲

提交时间:2016-05-12 14:00

修复时间:2016-06-30 16:30

公开时间:2016-06-30 16:30

漏洞类型:命令执行

危害等级:高

自评Rank:13

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-05-12: 细节已通知厂商并且等待厂商处理中
2016-05-16: 厂商已经确认,细节仅向厂商公开
2016-05-26: 细节向核心白帽子及相关领域专家公开
2016-06-05: 细节向普通白帽子公开
2016-06-15: 细节向实习白帽子公开
2016-06-30: 细节向公众公开

简要描述:

详细说明:

**.**.**.** >> >>CWS >>Success
**.**.**.** >> >>CWS >>Success
**.**.**.** >> >>CWS >>Success
**.**.**.** >> >>CWS >>Success
**.**.**.** >> >>Apache >>Success
**.**.**.** >> >>CWS >>Success
**.**.**.** >> >>China Mobile >>Success
**.**.**.** >> >>CWS >>Success


**.**.**.**:80 >>> Open
**.**.**.**:8080 >>> Open
**.**.**.**:443 >>> Open
**.**.**.**:8080 >>> Open
**.**.**.**:80 >>> Open
**.**.**.**:443 >>> Open
**.**.**.**:8080 >>> Open
**.**.**.**:8080 >>> Open
**.**.**.**:80 >>> Open
**.**.**.**:443 >>> Open
**.**.**.**:443 >>> Open
**.**.**.**:8080 >>> Open
**.**.**.**:80 >>> Open
**.**.**.**:8080 >>> Open
**.**.**.**:443 >>> Open
**.**.**.**:8080 >>> Open
**.**.**.**:8080 >>> Open
**.**.**.**:21 >>> Open
**.**.**.**:80 >>> Open
**.**.**.**:443 >>> Open
**.**.**.**:80 >>> Open
**.**.**.**:21 >>> Open
**.**.**.**:80 >>> Open
**.**.**.**:80 >>> Open
**.**.**.**:443 >>> Open
**.**.**.**:8080 >>> Open

漏洞证明:

http://**.**.**.**/webdisk/thirdAuthorize.action
存在struts2-032的命令执行漏洞

和彩云是中国移动旗下的个人网盘,面向所有用户提供安全、便捷、高效的个人云存储服务。用户可以放心的存储照片、视频等生活点滴和各类文件资料,还能在手机和电脑之间轻松同步、在线浏览以及分享给朋友。手机端可以实现通讯录、短彩信、手机应用、手机图片、手机视频和日历所有信息的全份,信息丢失后只需一键恢复,即可找回所有数据。


s320.png


直接getshell

cd.png


为了证明可以影响用户数据的,我找了下数据库配置
找到了一堆接口

<!--  各平台地址 体验环境没有营销平台,需要搭建! OSE,BMSUITE,SEAS,SCC,订购,营销  -->
<ose_addr ver="b136">**.**.**.**:18080</ose_addr>
<ose_https_addr ver="b136">**.**.**.**:18082</ose_https_addr>
<bmsuite_addr ver="b136">**.**.**.**:2126</bmsuite_addr>
<scc_addr ver="b136">**.**.**.**:8080</scc_addr>
<order_subWeb_addr ver="b136">**.**.**.**:8080</order_subWeb_addr>
<aas_addr ver="">**.**.**.**:2118</aas_addr>
<market_addr>**.**.**.**</market_addr>
<cdn_addr ver="b136">**.**.**.**:2125</cdn_addr>
<!--  本机ip port  -->
<cdn_addr ver="b136">**.**.**.**:2125</cdn_addr>
<!--  js,css的当前发布版本  -->
<code_version ver="b136"/>
<!-- 开发模式 false, 部署模式 true, 用于jsp引用判断引合并之后的js还是单个js  -->
<code_status>false</code_status>
<!--  彩云在线编辑 移动office 外网IP替换为内网IP  -->
<onlinEditor_replacementIP ver="b137">
**.**.**.**:9000,**.**.**.**:8080;**.**.**.**:28080,**.**.**.**:9090;**.**.**.**:58080,**.**.**.**:58080;**.**.**.**:9090,**.**.**.**:19090
</onlinEditor_replacementIP>
<!-- memcached服务器地址 端口 以及是否开启  -->
<memcached_host>**.**.**.**</memcached_host>
<memcached_port>11211</memcached_port>
<memcached_Switch>true</memcached_Switch>
<!--  飞信同窗鉴权 start  -->
<fetion.app.auth>false</fetion.app.auth>
<fetion.app.cky>22148</fetion.app.cky>
<fetion.allow.page>.html</fetion.allow.page>
<fetion.allow.request>
/portal/webdisk4fectionSafebox.jsp;/portal/webdisk4fection.jsp;vplayer4webdiskfection.jsp?src=safebox;mplayer4webdiskfection.jsp?src=safebox
</fetion.allow.request>
<!--  飞信同窗鉴权 end  -->
<!--  彩云消息彩信内容读取URL(servlet地址)  -->
<mmsgetfile>http://**.**.**.**:2125/getMmsFile</mmsgetfile>
<aas.bosh.servers>
**.**.**.**:2700|bosh1,**.**.**.**:2701|bosh2
</aas.bosh.servers>
<!--  邮箱的key  -->
<aas.caiyun.mailClientkey>3DF56DABC</aas.caiyun.mailClientkey>
<!--  portal首页地址  -->
<portal_index_path>
http://**.**.**.**:2125/Mcloud/portal/index.jsp
</portal_index_path>
<!--  登录页basepath  -->
<basepath>https://**.**.**.**:2663/Mcloud/</basepath>
<!--  在线编辑  -->
<editOnlineUrl>**.**.**.**:8080</editOnlineUrl>
<!--  互联网通行证MD5密钥  -->
<secretKey>testcaiyun</secretKey>
<!--  升级互联网通行证url  -->
<upgredMobilePassUrl>**.**.**.**/Mcloud/logout.jsp</upgredMobilePassUrl>
<!--  717彩云应用软件  -->
<qryaccount_url>
**.**.**.**:8080/subProxyWeb/actionServlet
</qryaccount_url>
<getMobilePassBoxURL>http://**.**.**.**:30030/UmcSSO</getMobilePassBoxURL>
<!--  微博广场客户端下载中转地址  -->
<twitterRedirect>**.**.**.**:9090/portal/mobile.jsp</twitterRedirect>
<!-- 上传插件OSE地址 -->
<ose.ndHttpAddr>**.**.**.**:2119/richlifeApp</ose.ndHttpAddr>
<ose.ndHttpsAddr>**.**.**.**:2567/richlifeApp</ose.ndHttpsAddr>
<aas_addr_webnd ver="">**.**.**.**:2117/tellin/checkVersion.do</aas_addr_webnd>
</config>
<?xml version="1.0" encoding="UTF-8"?>
<!-- 现网配置项文件,如果开发中需要改动,请至扩展配置中修改并修改web.xml进行开发,上线前去掉配置 -->
<config>
    <contentPath>Mcloud</contentPath>
	<!-- OSE服务平台地址 -->
	<ose_addr ver="b136">**.**.**.**:8080</ose_addr>
	<ose_https_addr ver="b136">**.**.**.**:8443</ose_https_addr>
	<!-- BMSuite地址 -->
    <bmsuite_addr ver="b136">**.**.**.**:8080</bmsuite_addr>
    <!--BMSuite ISysDataWS-->
    <bmsuite_ISysDataWS ver="b136">{bmsuite_addr}/mgmtWeb/xfire/services/ISysDataWS</bmsuite_ISysDataWS>
	<!-- SAES地址 -->
    <saes_addr ver="b136">{ose_addr}/richlifeApp/devapp/saes_user.IUser</saes_addr>
    <!-- SAES公共账号地址 -->
    <saes_addr_pub ver="b136">{ose_addr}/richlifeApp/devapp/saes_share.IPubAcc</saes_addr_pub>
    <!-- 彩云文件类地址 -->
    <saes_addr_content ver="b136">{ose_addr}/richlifeApp/devapp/saes_CYContent.IContent</saes_addr_content>
    <!-- SAES集成 -->
    <saes_addr_assemble ver="b136">{ose_addr}/richlifeApp/devapp/saes_CYAssemble.IAssemble</saes_addr_assemble>
	<!--139OP平台接口,查询用户安装的应用-->
	<appinfo139_addr ver="b136">**.**.**.**/appinfo.php</appinfo139_addr>
	<!--订购平台ip-->
	<!--<order_subWeb_addr ver="b136">**.**.**.**:8080</order_subWeb_addr>-->
	<order_subWeb_addr ver="b136">**.**.**.**:9797</order_subWeb_addr>
	<!--cnd地址-->
	<cdn_addr ver="b136">http://**.**.**.**.fastcdn.com</cdn_addr>      
	<!-- 上报跟踪信息接口 -->
	<reportTraceUrl_addr>rmi**.**.**.**:11049</reportTraceUrl_addr>
	<!-- 举报公开文件rmi接口 -->
	<reportPublicUrl_addr>rmi**.**.**.**:61049</reportPublicUrl_addr>
	<!-- 本机ip port -->
	<local_addr>**.**.**.**:8080</local_addr>
	<!-- 判断是否为手机号码 -->
	<regexp_cellphone_js>/^((134[0-8]{1})|(13[0,1,2,3,5,6,7,8,9]\d)|(15[0,1,2,3,5,6,7,8,9]\d)|(17[0,7])\d|(18\d\d)|(14\d\d)|(106\d))\d{7}$/</regexp_cellphone_js>
	<!-- 判断移动号段的JS正则表达式 -->
	<regexp_mobile_js>/^((134[0-8]{1})|(13[5-9]\d)|(15[0,1,2,7,8,9]\d)|(18[23478]\d)|(14\d\d)|(106\d))\d{7}$/</regexp_mobile_js>
	<!--判断是否广东省号码-->
    <provinceUrl_addr>**.**.**.**:8080</provinceUrl_addr>
	<!-- 2008-12-06 sep新接口专用 -->
	<newWebDisk ver="b136">{ose_addr}/richlifeApp/devapp/</newWebDisk>
	<newWebDiskHttps ver="b136">{ose_https_addr}/richlifeApp/devapp/</newWebDiskHttps>
	<!-- add by litz 企业回收站接口 20130624 begin -->
	<enterprise ver="b136">{ose_addr}/richlifeApp/devapp/</enterprise>
	<!-- add by litz 企业回收站接口 20130624 end -->
	<!-- 2008-12-12 注册来源系统标识-->
	<clientId ver="b136">520001</clientId>
	
	<!-- 调用OSE平台短信操作的URL,包括短信查询、删除、短信注释的增、删、改等操作 -->
	<sepUrl ver="b136" des="sep">{ose_addr}/richlifeApp/devapp/IMessage</sepUrl>
	<!--判断是否广东省号码   -->
	<province_url ver="b136">{provinceUrl_addr}/cbp/profile/findProvAndRegion.action</province_url>
	<safe ver="b136" des="动态密码">{ose_addr}/richlifeApp/devapp/IUser</safe>
	
	<CDN_image_url ver="b136">{cdn_addr}/{contentPath}/</CDN_image_url>
	<CDN_js_url ver="b136">{cdn_addr}/{contentPath}/</CDN_js_url>
	<CDN_css_url ver="b136">{cdn_addr}/{contentPath}/</CDN_css_url>
	
	<!-- js,css的当前发布版本 -->
	<code_version ver="b136">_V3.5.0</code_version>
	<!--开发模式 false, 部署模式 true,  用于jsp引用判断引合并之后的js还是单个js-->
	<code_status>true</code_status>
	<!-- 移动微博登陆URL -->
	<loginurl ver="b136">https://**.**.**.**</loginurl>
	<!-- http请求的超时时间 -->
	<httpRequestTimeOut ver="b136">30000</httpRequestTimeOut>
	<httpVailauthTimeOut ver="b136">2000</httpVailauthTimeOut>
	<!--页面上要显示的目录 -->
	<defaultRootCatalog ver="b136">我的彩云文件,00019700101000000001,文件邮,00019700101000000024,通话记录,00019700101000000025,发布的文件,00019700101000000019,说客相册,00019700101000000002,手机上传,00019700101000000006,短信珍藏,00019700101000000028,每日拍,00019700101000000029,移动相册,00019700101000000027,图片外链,00019700101000000030,我的收藏夹,00019700101000000035,SD卡备份,00019700101000000042,保险箱,00019700101000000040,离线下载,00019700101000000026</defaultRootCatalog>
	<!-- 离线下载目录ID 02320100225113418387测试ID-->
	<breakLineDownLoadId>00019700101000000026</breakLineDownLoadId>
	<!-- 彩云空间不够时的提示开关,当使用超1(=100%)时提示 -->
	<webdisk_tip_Switch ver="b136">1</webdisk_tip_Switch>
	<!--短信验证码显示限制数,当天发送的短信条数大于该数时方显示验证码、为空则不限制-->	
	<message_validateCode_ShowLimitNum ver="b136">50</message_validateCode_ShowLimitNum>	
	<!-- 彩云在线编辑 移动office 外网IP替换为内网IP -->
	<onlinEditor_replacementIP ver="b137">**.**.**.**:9000,**.**.**.**:8080;**.**.**.**:9010,**.**.**.**:8383;**.**.**.**:9011,**.**.**.**:8383;**.**.**.**:9013,**.**.**.**:8383;**.**.**.**:9014,**.**.**.**:8383;**.**.**.**:9015,**.**.**.**:8383;**.**.**.**:9012,**.**.**.**:8383;**.**.**.**:18060,**.**.**.**:8080;**.**.**.**:9016,**.**.**.**:8080;**.**.**.**:9017,**.**.**.**:8080;**.**.**.**:9018,**.**.**.**:8080;**.**.**.**:9019,**.**.**.**:8080;**.**.**.**:9020,**.**.**.**:8080;**.**.**.**:9021,**.**.**.**:8080;**.**.**.**:9000,**.**.**.**:8080;**.**.**.**:9000,**.**.**.**:8080;**.**.**.**:9033,**.**.**.**:8080;**.**.**.**:9034,**.**.**.**:8080;**.**.**.**:9022,**.**.**.**:8080;**.**.**.**:9023,**.**.**.**:8080;**.**.**.**:9024,**.**.**.**:8080;**.**.**.**:9025,**.**.**.**:8080;**.**.**.**:9026,**.**.**.**:8080;**.**.**.**:9027,**.**.**.**:8080;**.**.**.**:9028,**.**.**.**:8080;**.**.**.**:9029,**.**.**.**:8080;**.**.**.**:9030,**.**.**.**:8080;**.**.**.**:9031,**.**.**.**:8080;**.**.**.**:9032,**.**.**.**:8080;**.**.**.**:9126,**.**.**.**:18443;**.**.**.**:9120,**.**.**.**:18443;**.**.**.**:9107,**.**.**.**:18443;**.**.**.**:9035,**.**.**.**:8080;**.**.**.**:9036,**.**.**.**:8080;**.**.**.**:9037,**.**.**.**:8080;**.**.**.**:9038,**.**.**.**:8080;**.**.**.**:9133,**.**.**.**:18443;**.**.**.**:9134,**.**.**.**:18443;**.**.**.**:9135,**.**.**.**:18443;**.**.**.**:9136,**.**.**.**:18443;**.**.**.**:9045,**.**.**.**:8080;**.**.**.**:9046,**.**.**.**:8080;**.**.**.**:9047,**.**.**.**:8080;**.**.**.**:9048,**.**.**.**:8080;**.**.**.**:9049,**.**.**.**:8080;**.**.**.**:9050,**.**.**.**:8080;**.**.**.**:9143,**.**.**.**:18443;**.**.**.**:9144,**.**.**.**:18443;**.**.**.**:9145,**.**.**.**:18443;**.**.**.**:9146,**.**.**.**:18443;**.**.**.**:9147,**.**.**.**:18443;**.**.**.**:9148,**.**.**.**:18443;**.**.**.**:9051,**.**.**.**:8080;**.**.**.**:9052,**.**.**.**:8080;**.**.**.**:9053,**.**.**.**:8080;**.**.**.**:9054,**.**.**.**:8080;**.**.**.**:9055,**.**.**.**:8080;**.**.**.**:9056,**.**.**.**:8080;**.**.**.**:9149,**.**.**.**:18443;**.**.**.**:9150,**.**.**.**:18443;**.**.**.**:9151,**.**.**.**:18443;**.**.**.**:9152,**.**.**.**:18443;**.**.**.**:9153,**.**.**.**:18443;**.**.**.**:9154,**.**.**.**:18443;**.**.**.**:9057,**.**.**.**:8080;**.**.**.**:9058,**.**.**.**:8080;**.**.**.**:9059,**.**.**.**:8080;**.**.**.**:9060,**.**.**.**:8080;**.**.**.**:9061,**.**.**.**:8080;**.**.**.**:9062,**.**.**.**:8080;**.**.**.**:9155,**.**.**.**:18443;**.**.**.**:9156,**.**.**.**:18443;**.**.**.**:9157,**.**.**.**:18443;**.**.**.**:9158,**.**.**.**:18443;**.**.**.**:9159,**.**.**.**:18443;**.**.**.**:9160,**.**.**.**:18443;**.**.**.**:9063,**.**.**.**:8080;**.**.**.**:9064,**.**.**.**:8080;**.**.**.**:9065,**.**.**.**:8080;**.**.**.**:9066,**.**.**.**:8080;**.**.**.**:9161,**.**.**.**:18443;**.**.**.**:9162,**.**.**.**:18443;**.**.**.**:9163,**.**.**.**:18443;**.**.**.**:9164,**.**.**.**:18443</onlinEditor_replacementIP>
	<!--  add by zhouhu  end -->
	
	<!-- 上报跟踪信息接口 -->
	<reportTraceUrl>{reportTraceUrl_addr}/ITrace</reportTraceUrl>
	<!-- trace定时器启动时间 hhmmss -->
	<traceTimerStart>010000</traceTimerStart>
	<!-- trace定时器周期间隔 小时-->
	<traceTimerPeriod>24</traceTimerPeriod>
	<!-- 彩云目录id的配置-->
	<catalogid_mydisk>00019700101000000001</catalogid_mydisk>
	<catalogid_myphoto>00019700101000000011</catalogid_myphoto>
	<catalogid_mymusic>00019700101000000012</catalogid_mymusic>
	<catalogid_myvideo>00019700101000000013</catalogid_myvideo>
	<catalogid_playlist>00019700101000000015</catalogid_playlist>
	<!-- 举报公开文件rmi接口 -->
	<reportPublicUrl>{reportPublicUrl_addr}/IReport</reportPublicUrl>
	 
	<!--memcached服务器地址 端口 以及是否开启-->
	<memcached_host>**.**.**.**</memcached_host>
	<memcached_port>12001,12002,12003,12004,12005</memcached_port>
	<memcached_Switch>true</memcached_Switch>	
	
	<!-- 加密手机号的密匙 -->
	<md5key>abc123</md5key>
	
	<!-- 移动微博的白名单接口 -->
	<whitelist>http://**.**.**.**/wpm.php?m=</whitelist>
	
	<!-- 福建移动获取  路由规则类型 -->
	<routetype>areacd</routetype>
	                                
	<!-- 订购调用查询、开关短信过滤、消息记录接口 -->
	<applyServiceNew_url>{order_subWeb_addr}/subProxyWeb/actionServlet</applyServiceNew_url>
	
	<!-- 飞信同窗鉴权 start -->
	<fetion.app.auth>true</fetion.app.auth>
	<fetion.app.cky>22148</fetion.app.cky>
	<fetion.allow.page>**.**.**.**/apps/detail</fetion.allow.page>
	<fetion.allow.request>webdisk4fectionSafebox.jsp;/portal/webdisk4fection.jsp;vplayer4webdiskfection.jsp?src=safebox;mplayer4webdiskfection.jsp?src=safebox</fetion.allow.request>
	<!-- 飞信同窗鉴权 end -->
	
	<!--彩云首页短信发送下载地址,短信全网发送接口-->
	<mcloud_sms_mobile_url>http://sms.**.**.**.**/?m=Outside&amp;a=sendsmsbym</mcloud_sms_mobile_url>
	<mcloud_sms_mobile_uid>12520097</mcloud_sms_mobile_uid>
	<mcloud_sms_mobile_pwd>sms.**.**.**.**</mcloud_sms_mobile_pwd>
	<!--彩云首页短信发送下载地址,短信全网发送接口  end -->
	
	<!-- 静默开户 start -->
	<weibo.open.url>http://**.**.**.**/mobile/create</weibo.open.url>
	<weibo.open.appkey>8eb3ff1559f1207fab1ee2c80296d82b</weibo.open.appkey>
	<!-- 静默开户 end -->
	
	<!-- 飞信SSO start -->
	<fetion.sso.domain>**.**.**.**</fetion.sso.domain>
	<fetion.sso.domains>**.**.**.**%3b**.**.**.**%**.**.**.**</fetion.sso.domains>
	<fetion.sso.dynapwd>http://nav.**.**.**.**/nav/SendSmsPwd.aspx</fetion.sso.dynapwd>
	<fetion.sso.authkey>$a3F8C%D</fetion.sso.authkey>
	<fetion.sso.switch>false</fetion.sso.switch>
	<fetion.sso.permanent>86400000</fetion.sso.permanent>
	<fetion.sso.allows>**.**.**.**;/proxy/;/portal/;vplayer4webdiskfection.jsp?src=portal;mplayer4webdiskfection.jsp?src=portal</fetion.sso.allows>
	<!-- 飞信SSO end -->
	
	<!-- pc插件下载地址 -->
	<pcDownurl ver="b136">http://**.**.**.**/baihe/Mcloud/McloudHelper.zip</pcDownurl>
	<mcloud_DownloadURL>彩云Android客户端下载地址:http://**.**.**.**/mCloud_2.2.1_117-000.apk  【请点击下载】</mcloud_DownloadURL>
	<feixin_DownloadURL>飞信彩云版Android客户端下载地址:http://**.**.**.**/Mobiledownload/Android4.2/fetion_android-4.2.1-GEN-GENERIC-1.6-release-130118-webgw.apk  【请点击下载】</feixin_DownloadURL>
	<mcloudClientUrl>http://**.**.**.**/mCloud/mCloud-2.6.0.exe</mcloudClientUrl>
	<mcloudApkUrl>http://**.**.**.**/mCloud_2.2.1_117-000.apk</mcloudApkUrl>
	<mcloudIpadUrl>https://**.**.**.**/cn/app/cai-yunhd/id544679384?mt=8</mcloudIpadUrl>
	<mcloudIPhoneUrl>http://**.**.**.**/cn/app/cai-yun/id544673497?mt=8</mcloudIPhoneUrl>
	<mcloudSignedUrl>http://**.**.**.**/CaiYun_signed.sis</mcloudSignedUrl>
	<mcloudWinPhone8Url>http://**.**.**.**/zh-cn/store/app/%E5%BD%A9%E4%BA%91/d87b5c1f-9638-4fc9-80ad-173e8acf1d11</mcloudWinPhone8Url>
	<feitionClientUrl>http://**.**.**.**/Cloud/Fetion2012Cloud_Sep.exe</feitionClientUrl>
	<feitionApkUrl>http://**.**.**.**/Mobiledownload/Android4.2/fetion_android-4.2.1-GEN-GENERIC-1.6-release-130118-webgw.apk</feitionApkUrl>
	<!-- 微博广场统计需求用的配置参数,andriod版彩云升级时需要修改版本号 -->
    <mcloudApkUrl_Twitter>http://**.**.**.**/mCloud_1.3.0-827.apk</mcloudApkUrl_Twitter>
    <mcloudApkUrl_bak>http://**.**.**.**/mCloud_1.3.0-</mcloudApkUrl_bak>
    
	<!-- 彩云消息按ID查询接口URL -->
	<extIntfIMessage>{ose_addr}/richlifeApp/extIntf/IMessage</extIntfIMessage>
	<!-- 彩云消息彩信内容保存路径 -->
	<caiyunurl>/home/caiyun/MCloudShare/CYMMS/</caiyunurl>
	<!-- 彩云消息彩信内容读取URL(servlet地址) -->
	<mmsgetfile>http://**.**.**.**/getMmsFile</mmsgetfile>
	<!-- 彩云消息彩信内容smil获取url内外网地址转换ip -->
	<caiyunIP>**.**.**.**:9000,**.**.**.**:8080;**.**.**.**:9010,**.**.**.**:8383;**.**.**.**:9011,**.**.**.**:8383;**.**.**.**:9013,**.**.**.**:8383;**.**.**.**:9014,**.**.**.**:8383;**.**.**.**:9015,**.**.**.**:8383;**.**.**.**:9012,**.**.**.**:8383;**.**.**.**:18060,**.**.**.**:8080;**.**.**.**:9016,**.**.**.**:8080;**.**.**.**:9017,**.**.**.**:8080;**.**.**.**:9018,**.**.**.**:8080;**.**.**.**:9019,**.**.**.**:8080;**.**.**.**:9020,**.**.**.**:8080;**.**.**.**:9021,**.**.**.**:8080;**.**.**.**:9000,**.**.**.**:8080;**.**.**.**:9000,**.**.**.**:8080;**.**.**.**:9033,**.**.**.**:8080;**.**.**.**:9034,**.**.**.**:8080;**.**.**.**:9022,**.**.**.**:8080;**.**.**.**:9023,**.**.**.**:8080;**.**.**.**:9024,**.**.**.**:8080;**.**.**.**:9025,**.**.**.**:8080;**.**.**.**:9026,**.**.**.**:8080;**.**.**.**:9027,**.**.**.**:8080;**.**.**.**:9028,**.**.**.**:8080;**.**.**.**:9029,**.**.**.**:8080;**.**.**.**:9030,**.**.**.**:8080;**.**.**.**:9031,**.**.**.**:8080;**.**.**.**:9032,**.**.**.**:8080;**.**.**.**:9126,**.**.**.**:18443;**.**.**.**:9120,**.**.**.**:18443;**.**.**.**:9107,**.**.**.**:18443</caiyunIP>
	<!-- AAS平台地址 -->
	<aas_addr ver="108">**.**.**.**:8080</aas_addr>
	<!-- 给插件使用的获取最新版本的公网AAS接口地址 -->
	<aas_addr_webnd ver="">http://aas.**.**.**.**:80/tellin/checkVersion.do</aas_addr_webnd>
	
	<aas.url.verfycode>{aas_addr}/tellin/verfycode.do</aas.url.verfycode>
	<aas.url.verfycodeauth>{aas_addr}/tellin/verfycodeauth.do</aas.url.verfycodeauth>
	<aas.url.thirdlogin>{aas_addr}/tellin/thirdlogin.do</aas.url.thirdlogin>
	<aas.url.randomcode>{aas_addr}/tellin/getDyncPasswd.do</aas.url.randomcode>
	<aas.url.refreshtoken>{aas_addr}/tellin/authTokenRefresh.do</aas.url.refreshtoken>
	<aas.url.tempticket>{aas_addr}/tellin/usr/puc/ispace/sso/gettmpticket.do</aas.url.tempticket>
	<aas.url.createuser>{aas_addr}/tellin/createUser.do</aas.url.createuser>
	<aas.url.modifypwd>{aas_addr}/tellin/modifyPWD.do</aas.url.modifypwd>
	<aas.caiyun.clienttype>415</aas.caiyun.clienttype>
	<aas.caiyun.cpid>59</aas.caiyun.cpid>
	<aas.caiyun.clientkey>ghsr#&amp;fhth%</aas.caiyun.clientkey>
	<!-- 邮箱的客户端类型 -->
	<aas.caiyun.mailclienttype>433</aas.caiyun.mailclienttype>
	<!-- 邮箱的CPID-->
	<aas.caiyun.mailcpid>74</aas.caiyun.mailcpid>
	<!-- 邮箱的key-->
    <aas.caiyun.mailClientkey>MXF(*^83dkF</aas.caiyun.mailClientkey>
	<!-- feixin clienttype -->
	<aas.caiyun.feixinclienttype>442</aas.caiyun.feixinclienttype>
	<!-- feixinCPID-->
	<aas.caiyun.feixincpid>14</aas.caiyun.feixincpid>
	<!-- feixinkey-->
	<aas.caiyun.feixinClientkey>m*s9$8awpE</aas.caiyun.feixinClientkey>
	<!-- 微博的客户端类型 -->
	<aas.caiyun.weiboclienttype>438</aas.caiyun.weiboclienttype>
	<!-- 微博的CPID-->
	<aas.caiyun.weibocpid>77</aas.caiyun.weibocpid>
	<!-- 微博的key-->
	<aas.caiyun.weiboClientkey>X&lt;kfd9123k</aas.caiyun.weiboClientkey>
	
	
	<!-- aipai的客户端类型 -->
	<aas.caiyun.aipaiclienttype>441</aas.caiyun.aipaiclienttype>
	<!-- aipaiCPID-->
	<aas.caiyun.aipaicpid>79</aas.caiyun.aipaicpid>
	<!-- aipaikey-->
	<aas.caiyun.aipaiClientkey>l0234Ldf93e</aas.caiyun.aipaiClientkey>
	
	
	
	<!-- aas.bosh.serversNJ联调**.**.**.**:2700|bosh1,**.**.**.**:2701|bosh2 -->
	<!-- aas.bosh.servers现网内网**.**.**.**:5280|bosh1,**.**.**.**:5281|bosh2 -->
	<aas.bosh.servers>**.**.**.**:5280|bosh1,**.**.**.**:5280|bosh2,**.**.**.**:5280|bosh3,**.**.**.**:5280|bosh4,**.**.**.**:5280|bosh5,**.**.**.**:5280|bosh6,**.**.**.**:5280|bosh7,**.**.**.**:5280|bosh8</aas.bosh.servers>
	<aas.bosh.switch>true</aas.bosh.switch>
	<!-- AAS end-->
    
    <!-- 飞信彩云下载链接短信一天发送次数限制 -->
    <maxdownloadtimes>3</maxdownloadtimes>
	<!-- 文件外链接口 -->
	<IOutLink>{ose_addr}/richlifeApp/devapp/IOutLink</IOutLink>
	<CYOutLink>{ose_addr}/richlifeApp/devapp/saes_CYOutLink.IOutLink</CYOutLink>
	<!-- 消息下发接口(通知短信、通知邮件) -->
	<saes_message>{ose_addr}/richlifeApp/devapp/saes_message.IMessage</saes_message>
	
	<!-- 同步盘PC客户端下载地址 -->
	<synDiskPCDownloadURL>http://**.**.**.**/CSD/csd.exe</synDiskPCDownloadURL>
	<!-- 图片外链分享下发短信内容 -->
	<linkMsg>中国移动彩云:您的好友[0]通过彩云给您分享文件下载地址为:[2]</linkMsg>
	<linkMsgHtml>[p]nbsp[/p][p]中国移动彩云:您的好友[0]通过彩云给您分享文件下载地址为:[/p][p]nbsp[/p][p][2][/p]</linkMsgHtml>
	<linkMailHtml>[p][0] 给您分享彩云文件 [1] ,赶快来查看吧![/p][p]查看地址为: [2][/p]</linkMailHtml>
	<linkSNSHtml>我通过@彩云Mcloud 分享了 “[0]”,赶快来下载吧。</linkSNSHtml>
	<!--登录页的http地址 -->
	<basepath_http>http://**.**.**.**/</basepath_http>
	<!-- portal首页地址 -->
	<portal_index_path>http://**.**.**.**/portal/index.jsp</portal_index_path>
	<!-- 登录页basepath -->
	<basepath>https://**.**.**.**/</basepath>
	
	<!-- 在线编辑 -->
	<ThirdDocEditFlag>true</ThirdDocEditFlag>
	<!-- 图片冲印 -->
	<ThirdPrintImageFlag>false</ThirdPrintImageFlag>
	<!-- 一键美化 -->
	<ThirdXiuxiuFlag>true</ThirdXiuxiuFlag>
	<!-- 文件杀毒 -->
	<ThirdKillVirusFlag>true</ThirdKillVirusFlag>
	
	<!-- 在线编辑 -->
	<editOnlineUrl>http://edit.**.**.**.**</editOnlineUrl>
	
	<!-- wab跳转链接地址 -->
	<wabRedirectUrl>https://**.**.**.**:7071/portal/oauth2</wabRedirectUrl>
	
	<!-- 家庭冲印URL -->
	<familyPrintImageUrl>**.**.**.**/CaiyunPrint/servlet/caiyunLoginServlet</familyPrintImageUrl>
	
	<!-- 登录记录管理 -->
	<loginManagerUrl>{ose_addr}/richlifeApp/devapp/saes_CYLogin.ILogin</loginManagerUrl>
	
	<!-- 查询所在文件夹位置 -->
	<queryDirInfo_url>{ose_addr}/richlifeApp/devapp/saes_nd.ICatalog</queryDirInfo_url>
	<!-- 文件直链 -->
	<queryCloudLink_url>{ose_addr}/richlifeApp/devapp/saes_nd.IFileLink</queryCloudLink_url>
	
	<!-- 首页搜索功能开关 -->
  <search_Opening ver="b137">true</search_Opening>
  
  <!-- 互联网通行证MD5密钥 -->
  <cmpassport>http://**.**.**.**</cmpassport>
  <secretKey>26ec0ad542ec3704</secretKey>
  <!-- 升级互联网通行证url -->
  <upgredMobilePassUrl>**.**.**.**/Mcloud/proxy/umc.jsp</upgredMobilePassUrl>
  
  <!-- timeline调用地址url -->
  <event_url>{ose_addr}/richlifeApp/devapp/saes_timeline.IEvent</event_url>
  <!-- 717彩云应用软件 -->
  <qryaccount_url>**.**.**.**:9797/subProxyWeb/actionServlet</qryaccount_url>
  <getAppBackupListURL ver="b137">{ose_addr}/richlifeApp/devapp/saes_CYAPK.IBackup</getAppBackupListURL>
  <getMobilePassBoxURL>{cmpassport}/umcsso</getMobilePassBoxURL>
  <!-- 营销提供的意见反馈中心URL -->
  <feedback_url>http://**.**.**.**/marketPlat/feedback/feedback.jsp</feedback_url>
  
  <!-- 营销平台地址 现网 **.**.**.** -->
  <market_addr>**.**.**.**</market_addr>
  <!-- 营销广告信息 -->
  <advert_url>{market_addr}/mcmm/api/IAdvert</advert_url>
  <advertCacheTime>600</advertCacheTime>
  <!-- 营销消息获取间隔 -->
  <market_msg_interval>7200000</market_msg_interval>
  
  <!-- 免费扩充空间任务 -->
  <getMissonInfo_url>{market_addr}/mcmm/api/IFreeMission</getMissonInfo_url>
  <rptMisson_url>{market_addr}/mcmm/api/IFreeMission</rptMisson_url>
  <rptMisson_switch>true</rptMisson_switch>
  
  <!-- OSE公共接口类地址 -->
  <ICommon>{ose_addr}/richlifeApp/devapp/ICommon</ICommon>
  
  <!-- 灰度用户列表配置start -->
  <ABT_userlist_cacheperiod>600</ABT_userlist_cacheperiod>
  <!-- 灰度用户列表配置end -->
  
  
  <!-- 应用管理接口 start -->
  <registerApp>{ose_addr}/oauthApp/OAuth2/registerApp</registerApp>
  <updateApp>{ose_addr}/oauthApp/OAuth2/updateApp</updateApp>
  <deleteApp>{ose_addr}/oauthApp/OAuth2/deleteApp</deleteApp>
  <queryApp>{ose_addr}/oauthApp/OAuth2/queryApp</queryApp>
  <queryIfScope>{ose_addr}/oauthApp/OAuth2/queryIfScope</queryIfScope>
  <!-- 应用管理接口 end -->
  
  <!-- 新手引导 -->
  <new_guide_version>8</new_guide_version>
  <!-- WAP跳转地址 -->
  <mobileLink>http://**.**.**.**:7070/</mobileLink>
  <!-- 手机外链跳转到wap地址 -->
  <mobileLinkToWap>{mobileLink}portal/dl/</mobileLinkToWap>
  <!-- 公共账号跳转 -->
  <mobileLinkToPub>http://**.**.**.**:7070/portal</mobileLinkToPub>
  <!-- 手机外链主页跳转到wap地址 -->
  <mobileHomeToWap>{mobileLink}portal/common/getOutLinkByHome.action?homeID=</mobileHomeToWap>
    <!-- 微博广场客户端下载中转地址 -->
  <twitterRedirect>{mobileLink}portal/mobile.jsp</twitterRedirect>
  <!--上传插件OSE地址-->
  <ose.ndHttpAddr>http://ose.**.**.**.**:80/richlifeApp</ose.ndHttpAddr>
  <ose.ndHttpsAddr>https://ose.**.**.**.**:443/richlifeApp</ose.ndHttpsAddr>
  <app_scope>nd_cloud</app_scope>
   <!--用户在线反馈地址-->
  <feedback_url>{market_addr}/marketPlat/xmlFeedback.action</feedback_url>
  <outerfeedbackfileupload>{market_addr}/marketPlat/xmlFileUploadActionNew.action</outerfeedbackfileupload>
  <getfeedbackminpicture>{market_addr}/marketPlat/feedbackGetMinPictureNew.action </getfeedbackminpicture>
  <feedbackdeleteuplaodfile>{market_addr}/marketPlat/feedbackDeleteUploadFileNew.action</feedbackdeleteuplaodfile>
  	
  	<!-- 短信发送接口 -->
  	<ose_sendCYSMS>{ose_addr}/richlifeApp/devapp/saes_CYMessage.IMessage</ose_sendCYSMS>
  
  <!-- 下载营销平台提供的图片及XML文件的保存地址 -->
  <downloadFilePath>/home/caiyun/tomcat/webapps/Mcloud/images/p/ad</downloadFilePath>
  <!-- 免费扩容(容量升级)入口 -->
  <freeMissionURL>http://**.**.**.**/portal/index_freeMission.jsp</freeMissionURL>
  <!-- 有福网冲印地址 -->
  <getLoginUrl>http://**.**.**.**/caiyun/get_login_url.php</getLoginUrl>
  <!-- 离线下载V2.3.0开关 -->
  <offLineStatus>false</offLineStatus>
  <!-- 彩云经验积分 -->
  <iRank_url>{ose_addr}/richlifeApp/devapp/saes_CYRank.IRank</iRank_url>
  <iRankMgmt_url>{ose_addr}/richlifeApp/devapp/saes_CYRank.IRankMgmt</iRankMgmt_url>
  <userRankCacheTime>60</userRankCacheTime>
  <levelListCacheTime>60</levelListCacheTime>
  <userBaseInfo_url>{order_subWeb_addr}/subProxyWeb/actionServlet</userBaseInfo_url>
  <aas.partner.token.login.473>*(Dkfjskdfj</aas.partner.token.login.473>
  <aas.partner.token.login.472>kjfdj12*(@#(R4</aas.partner.token.login.472>
  <aas.partner.token.login.412>kjfdj12*(@#(R4</aas.partner.token.login.412>
  <!-- 492pptv一键登录领取彩云空间 -->
  <aas.partner.token.login.492>T#ds0Ks$d2G</aas.partner.token.login.492>
  <!-- 490潮州OA第三方token登录 -->
  <aas.partner.token.login.490.clientType>490</aas.partner.token.login.490.clientType>
  <aas.partner.token.login.490.cpId>111</aas.partner.token.login.490.cpId>
  <aas.partner.token.login.490>j2$k1L*d3#H</aas.partner.token.login.490>
  
  <!-- 检查token间隔 ,秒为单位-->
  <keep_alive_interval>30</keep_alive_interval>
  
  <!-- 申请订阅号营业执照保存用户账号  -->
  <apply_pub_account>+8614000000000</apply_pub_account>
  <apply_pub_catalog>00019700101000000001</apply_pub_catalog>
  
  <!-- 批量转存、复制、移动最大个数 -->
  <maxMoveAndCopy>200</maxMoveAndCopy>
  
  <!-- 功能开关 外链屏蔽 -->
  <switch_2015_filelink>false</switch_2015_filelink>
  
  <!-- 一加随机数 -->
  <oneplusRate>10</oneplusRate>
</config>
This XML file does not appear to have any style information associated with it. The document tree is shown below.
<!--
 
	本地开发环境配置,在web.xml里面设置
	使用此配置时,需要在web.xml文件里面设置Servlet extendsConfigPath的值为config/servrequrl_config_dev.xml
	可以根据不同的环境设置不同的扩展文件,上线时需要将web.xml里面的配置值删除
-->
<config>
<!--   本地开发环境,重写CDN,版本,OSE环境等信息  -->
<!--
		OSE服务器地址	网盘业务操作/共享/外链/保险箱/信息/同步等业务
		现网			 	**.**.**.**:8080
		N5联调			**.**.**.**:2119
		N5联调			**.**.**.**:2567
		N5体验			**.**.**.**:2428
		N5联调			**.**.**.**:2429
	
-->
<ose_addr ver="b136">**.**.**.**:2119</ose_addr>
<!--
		AAS服务器地址	登录/通行证票据/找回密码等业务
		现网			https://**.**.**.**:8080
		现网外网		https://**.**.**.**:443
		N5联调		**.**.**.**:2118
		插件调用		**.**.**.**:5620
	
-->
<aas_addr ver="">**.**.**.**:2118</aas_addr>
<!--  
		BMSUITE服务器地址	获取灰度用户名单
	  -->
<bmsuite_addr ver="b136">**.**.**.**:2126</bmsuite_addr>
<!--  
		订购服务器地址	业务查询开通等
	  -->
<order_subWeb_addr ver="b136">**.**.**.**:8080</order_subWeb_addr>
<!--  
		营销服务器地址	活动抽奖/积分/广告配置 等业务
	  -->
<market_addr>**.**.**.**:8082</market_addr>
<aas_addr_webnd ver="">**.**.**.**:2117/tellin/checkVersion.do</aas_addr_webnd>
<mobileLink>**.**.**.**:8180/</mobileLink>
<mobileLinkToPub>**.**.**.**:8180/portal</mobileLinkToPub>
<cdn_addr ver="b136">http://testM**.**.**.**</cdn_addr>
<code_version ver="b136">_V2.4.5</code_version>
<code_status>false</code_status>
<aas.caiyun.mailClientkey>3DF56DABC</aas.caiyun.mailClientkey>
<aas.bosh.servers>
**.**.**.**:2700|bosh1,**.**.**.**:2701|bosh2
</aas.bosh.servers>
<memcached_host>**.**.**.**</memcached_host>
<memcached_port>12001</memcached_port>
<memcached_Switch>true</memcached_Switch>
<!--  飞信同窗鉴权 start  -->
<fetion.app.auth>false</fetion.app.auth>
<fetion.app.cky>22148</fetion.app.cky>
<fetion.allow.page>.html</fetion.allow.page>
<fetion.allow.request>
/portal/webdisk4fectionSafebox.jsp;/portal/webdisk4fection.jsp;vplayer4webdiskfection.jsp?src=safebox;mplayer4webdiskfection.jsp?src=safebox
</fetion.allow.request>
<!--  飞信同窗鉴权 end  -->
<fetion.sso.switch>false</fetion.sso.switch>
<portal_index_path>http://testM**.**.**.**/Mcloud/portal/index.jsp</portal_index_path>
<!--  登录页basepath  -->
<basepath>https://testM**.**.**.**/Mcloud/</basepath>
<!--  在线编辑:网达测试平台地址  -->
<editOnlineUrl>**.**.**.**:8080</editOnlineUrl>
<!--  互联网通行证MD5密钥  -->
<secretKey>26ec0ad542ec3704</secretKey>
<!--  717彩云应用软件  -->
<qryaccount_url>
**.**.**.**:8080/subProxyWeb/actionServlet
</qryaccount_url>
<twitterRedirect>**.**.**.**:9090/portal/mobile.jsp</twitterRedirect>
<!-- 上传插件OSE地址 -->
<ose.ndHttpAddr>**.**.**.**:2119/richlifeApp</ose.ndHttpAddr>
<ose.ndHttpsAddr>**.**.**.**:2567/richlifeApp</ose.ndHttpsAddr>
<aas.partner.token.login.test.clientType>472</aas.partner.token.login.test.clientType>
<aas.partner.token.login.test.cpId>94</aas.partner.token.login.test.cpId>
<aas.partner.token.login.test2.clientType>473</aas.partner.token.login.test2.clientType>
<aas.partner.token.login.test2.cpId>76</aas.partner.token.login.test2.cpId>
<aas.partner.token.login.473>*(Dkfjskdfj</aas.partner.token.login.473>
<aas.partner.token.login.472>L%sf*lllWenX#</aas.partner.token.login.472>
<apply_pub_account>13533250946</apply_pub_account>
<apply_pub_catalog>4q11UBEWH005009201501082323162nn</apply_pub_catalog>
</config>


比较失望的是,没有搜到连接数据库的信息,netstat也看了一下没有看到3306或者1433,1521等端口。可能该网站并没有直接连接数据库,只是通过一个key和一些接口进行一些调用操作。

fetion.version=2
fetion.authMode=sig
fetion.apiUrl=http://i.**.**.**.**/api/service
#分配的appkey
fetion.appKey=8f5cd26a6ce0399fd48c39357c2660c6
fetion.appSecret=f5ab3e204905e321faf2f0b0b0826596
#SSO
sso_appid=a1ba258742c149477a831c3a91ac7837
sso_type=cytoken
sso_gateway=1
sso_service=
sso_channel=mcontact_hwcyweb
sso_url_reg=http://**.**.**.**/register.json
sso_url_sign=http://**.**.**.**/login.json
sso_url_regandsign=http://**.**.**.**/registerAndLogin.json
#Open Platform
open_appkey=a1ba258742c149477a831c3a91ac7837
open_platversion=1.0
open_clientsdk=java
open_url=http\://**.**.**.**/


正当我失望的时候,我发现了一个中国移动的一个小缺陷,就是明文传输,某些操作的get请求里直接把我的密码带过去了,然后我找到了该服务器每天自动备份日至的目录。找到了大量用户明文登陆的记录。

rz.png

rzml.png


rz2.png


我尝试登陆几个都成功了,其中包含了移动员工自己或者是个人用户的密码。且我发现,和彩云还类似于一个统一登录的平台,通过登陆和彩云可以无需密码直接登陆跳转到其他业务

txl.png


1391.png


139.png


其中网盘里还有些羞羞的内容

hecy.png


还可以控制手机发短信噢,

dx.png


标题里包含的业务我都能登进去,只要先登陆进和彩云网盘。
接着,在某员工邮箱里找到了一堆移动与华为中兴的“PY交易”
贝尔 admin !Admin2010!
中兴 admin Admin2013!@# Admin2012!@# Admin2014!@#
邦讯 admin bxo23@#$#1356
国人 admin junHUN1~
zhaoqian
AAbb123!@#
heze!@34
一,wlan网管: qq号: 1624357268 1234567abc
**.**.**.**:8080/wlan/login.jsp Sd@Wlan!
用户名admin Boomsense@)!!123
密码SDmcc@#$% heze!@34 **.**.**.**
二,国人 SNMP读口令字 Sd@Wlan! 删除SNMP读写口令字 Sd@Wlan!
国人AC:
用户名:hzzczx
密码:HZzcZx5281
(HZzcZx2012)
中兴AC10、11、12、24、25:
用户名:icac
密码:ZX(&^%6789hg
中兴:AC70、71、72、73、74、75、76、77、78、79
用户名:icac
密码:Ztehz!@#
三,邦讯
用户名 :admin
密码:bxo23@#$#1356
AC05
**.**.**.**
AC07
**.**.**.**
AC08
**.**.**.**
四,中兴AC
AC10 主AC 用户名:hzzczx 密码:HZzcZx2012
**.**.**.**/
AC11 主AC
**.**.**.**/
AC12备AC
**.**.**.**/
AC24 主AC
**.**.**.**/
五,贝尔AC 用户名:icac 密码:ic#452df!
主用 SDHZE-WLAN-AC13- BEZ700
**.**.**.**/main.php
管理员
hzzczx
HZzcZx2012
邮箱:hezewlan@**.**.**.**
密码:mxd5591188
ONU登录账号wlan-fzzx tp-link:yhj43215
密码wlan-fzzx
中兴查AP:show ap b g
中兴查信道:show run l i (mac)
默认组: show ap un b
组号列表: show ap-g b
ONU账户和密码:
wlan-fzzx
贝尔查询方法
show wtp list
帐号 密码 用户名
caoxianwl 都是Wlan123 曹县WLAN
chengwuwl Wlan123 成武WLAN
dingtaowl Wlan123 定陶WLAN
kaifaquwl Wlan123 开发区WLAN
shanxianwl Wlan123 定陶WLAN
dongmingwl Wlan123 东明WLAN
juanchengwl 鄄城WLAN
yunchengwl 郓城WLAN
juyewl 巨野WLAN
mudanquwl 牡丹区WLAN
XP系统请把附件中的注册表项添加上,然后重启电脑,建立个VPN拨号 拨号地址是**.**.**.** 拨进来 能登录所有cmnet设备、AC、ONU网管。帐号密码都是 wlan 教程如下:
一,请安装ONU监控软件,不必远程即可操作。下载地址是:http://**.**.**.**/Htk3AX
WLAN网管地址:**.**.**.**/wlan/
用户名:sdhze
密码:heze!@34
多台ap的密码以及管理平台。。不一一登陆截图了
看到邮件里还提到了一个EMOS平台

sdyd.png


**.**.**.**:8082/NMMP/gis/bin-debug/InspurGuizhouMoible.jsp
“山东移动网络代维管理平台”

dw.png


jqm.png


jqm2.png


涉及392万的用户宽带鉴权码,也不知道有什么用。。
这只是其中一个用户的危害,日志每天记录,你猜猜每天能拿到多少用户登陆?

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2016-05-16 16:20

厂商回复:

CNVD未复现所述情况,已经转由CNCERT向中国移动集团公司通报,由其后续协调网站管理部门处置。

最新状态:

暂无