当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-044545

漏洞标题:全省铁通宽带的广告推送系统可被劫持(可向全省宽带用户推送挂马,页面直接弹出)

相关厂商:中国铁通集团

漏洞作者: hacker@sina.cn

提交时间:2013-11-30 18:30

修复时间:2014-01-14 18:30

公开时间:2014-01-14 18:30

漏洞类型:成功的入侵事件

危害等级:低

自评Rank:1

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-11-30: 细节已通知厂商并且等待厂商处理中
2013-12-02: 厂商已经确认,细节仅向厂商公开
2013-12-12: 细节向核心白帽子及相关领域专家公开
2013-12-22: 细节向普通白帽子公开
2014-01-01: 细节向实习白帽子公开
2014-01-14: 细节向公众公开

简要描述:

我是来刷核心白帽的。此致,敬礼。
测试事件发生在2010年末,当年因为被流氓运营商不胜其扰的推送广告,一怒之下就把几个省的广告系统搞了,漏洞至今存在。

详细说明:

小时候,记得我们家的窝棚一直没通网络,后来党国政策好,开始搞棚户区改造,几年后侨迁新居,当时第一家接入的IDC运营商就是铁通,其次是电信,但在北方,电信网络是极不好的。所以我们家自然而然的办理了铁通网络,但从此伴随我的便是不胜其烦的宽带推送广告骚扰,每隔几分钟,只要打开新的网页,右下角就会弹出广告页面,用虚拟机打开也有,这让我更加确定了是宽带运营商所为。电话投诉也不了了之,第一次工信部出面处理了,过了几周后又恢复了广告推送,实实令我颇为愤怒,本来花钱购买的是网络服务,而不是广告服务,用户合同中也并未提及广告推送业务,这种绑架用户的霸道作法实为丑恶的奸商嘴脸。那一年,我没有选择沉默,年轻气盛的我绝不向欺凌客户的无赖国企屈服。
在经过多层次多节点的抓包分析后,我确定了广告推送的来源,因为图片是存储在推送系统主机里的,虽然点击广告图片跳到的网站是广告主的,配合谷歌搜索,直接找到了推送系统的后台管理地址。而且这套系统同时集成催缴费系统,有时候收到运营商弹过来的催肥通知页面,就是如此实现的。这套推送技术利用宽带光纤网络的光分复用 还是时分复用的功能实现,当年找了下技术文档,不过已经记不清了,毕竟是运营商级的。咱也就玩玩简单的路由协议,不懂这么高深的。
当我访问后台发现这个AJAX实现的登录入口并没有什么可直接利用的脆弱点,也没有猜到弱口令,几乎陷入绝望,一边开着wscan,一边对着屏幕发呆,就在此时,我突然注意到这个管理系统的后台目录名极其特殊,似乎代表着这套系统的开发名称,我就顺手在路径后面输入了个.tar.gz,想看看会不会碰到网站系统打包的lucky,结果一击命中!
下载了网站源码,查看数据库连接文件,发现数据库就在本机,而且对外开放3306(20131130测试已不开放外连)登录之后直接拿到管理密码。但因为是linux,虽然暴出来了网站目录,也无法导shell,那个目录对mysql运行帐号无写权限。管理后台也拿不到SHELL,因为功能很简单。
最惊心动魄的时候到了,登录系统后发现此系统是铁通全省的推送系统,可针对省内任何一个城市做推送,此时我已经找到了“广告推送白名单”,已经可以把自己排除在广告之外了,但本着GEEK理念还是偷偷尝试添加了一个广告推送项目,针对我家那个城市的铁通用户,内容完全无害,就是一个一直在走正步的小黄鸡,很可爱的哦,确定完成后默默等待了数十分钟,重新打开百度,接着就弹出了这个

ole_photo_qq.gif


删除添加的推送项目,把自家宽带帐号加入白名单,一下子世界清静许多。
冷不丁的想着是不是其他省也存在类似的系统呢?重新用谷歌搜索了下特征后台地址,这就有了此次福建省的脆弱问题了,他们使用同样的系统,而且管理员密码都是系统默认的,两套系统的root密码都相同,这说明这个长长的一串chinatt10050就是这套广告+催缴费推送系统的默认管理密码。不过对此我并未做相同的测试,因为已经没有必要了,我的目的已经达到了。
就此罢手 搞定收工。

漏洞证明:

辽宁省铁通宽带特定推送系统:
催缴费+广告推送系统地址:http://221.174.50.131/value_add_sys/src/index.php
网站绝对路径:/var/www/htdocs/value_add_sys/src/
疑似内部IP:10.61.0.245
管理员密码(当年从数据库中抓出来的,现在超级管理员root依然可用):

.png


管理系统备份打包(20131130测试仍然可以直接下载,都3年了):
http://221.174.50.131/value_add_sys.tar.gz
MySql[历史信息]:
221.174.50.131:3306
用户名:reminder
密码:payment
其他信息:
paymentFilename = /var/www/htdocs/pay-reminder/trunk/src/datas/yingzhangdata/paymentInfo.dat
brandFilename = /var/www/htdocs/pay-reminder/trunk/src/datas/yingzhangdata/brandCustomerInfo.dat
file_characterSet = UTF-8
oracleURL = jdbc:oracle:thin:@61.235.70.59:1521:ora92
oracleUser = zkyjss
oraclePwd = chinattgd
20131130推送系统截图:

.png


20131130催缴费系统截图:

.png


*********************************************************************
福建省铁通宽带特定推送、追缴系统:
http://222.47.26.34/value_add_sys/src/
帐号:root 密码:chinatt10050
MsSql(20131130测试有效):
222.47.26.34:3306
用户名:reminder
密码:payment
用户表见:sys_customer表
推送系统截图:

.png


.png

修复方案:

Don't be evil !

版权声明:转载请注明来源 hacker@sina.cn@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-12-02 22:04

厂商回复:

CNVD确认并复现所述情况,转由CNCERT向中国移动集团公司通报,由其后续协调网站管理单位处置,并建议其做好风险点修复,并对系统配置进行更新。rank 20

最新状态:

暂无