当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-070509

漏洞标题:中国电信官网(www.189.cn)钓鱼挂马以及电信营业厅安卓客户端定向\集体推送更新(绑马)等高危漏洞合集

相关厂商:中国电信

漏洞作者: s0mun5

提交时间:2014-07-31 18:23

修复时间:2014-09-14 18:24

公开时间:2014-09-14 18:24

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-07-31: 细节已通知厂商并且等待厂商处理中
2014-08-05: 厂商已经确认,细节仅向厂商公开
2014-08-15: 细节向核心白帽子及相关领域专家公开
2014-08-25: 细节向普通白帽子公开
2014-09-04: 细节向实习白帽子公开
2014-09-14: 细节向公众公开

简要描述:

或许哪一天 通过看域名判断是不是钓鱼网站的方法不再有效
或许哪一天 官网推送的更新不再是官方的更新
或许哪一天 ......

详细说明:

误打误撞进了一个电信的安卓营业厅发布以及推送后台
http://118.***.**.*:8080/
弱口令 test/test
静态配置页面 发布 部署后 直接可以getshell两个台内网服务器

1.jpg


(jsp打包zip 上传zip 自动解压缩)
http://118.***.**.*:8080/ 以及 http://***.client.189.cn:8006
发布的时候可以选择是否强制推送或者选择定向推送更新

2.jpg


3.jpg

漏洞证明:

下面证明该更新确定就是客户端收到的链接

1.jpg


Screenshot_2014-07-31-17-56-06.png


后台中的文字跟推送的文字相同

2.jpg


4.jpg


burp抓到的更新地址与shell地址相同(**ervice与**update 在内网是同一台服务器 并且做了负载均衡)

#\u6570\u636e\u5e93\u8fde\u63a5\u914d\u7f6e(\u751f\u4ea7\u73af\u5883)
jdbc.driver=oracle.jdbc.driver.OracleDriver
jdbc.url=jdbc:oracle:thin:@172.**.**.*:1521/clidb
jdbc.username=UNI_。。。
jdbc.password=UNI_。。。


#luckyDraw job product data source(\u751f\u4ea7\u73af\u5883)
jdbc.driverluckydraw=oracle.jdbc.driver.OracleDriver
jdbc.urlluckydraw=jdbc:oracle:thin:@172.**.**.**:1521/clidb
jdbc.usernameluckydraw=e_xxxxx
jdbc.passwordluckydraw=e_xxxxx


配置文件中的数据库连接串
由于库太大读取对业务有影响 没去确定 但是根据客户端登陆的数据包可以推断

用户验证也是cservice服务器上


POST /map/clientXML?encrypted=true HTTP/1.1
Content-Length: 976
Content-Type: text/xml
Host: **.client.189.cn:8004
Connection: Keep-Alive
User-Agent: HUAWEI HUAWEI G700-U00/4.2.0
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


(负载均衡服务器大部分目录结构不一样 实在是没时间去翻map/clientXML 映射在哪了)
配置文件中有这么一段

pictures.filePath=http://diy.189.cn/client/maintopad/test/
ftp_url=172.16.***.*
ftp_port=21
ftp_userName=xxxxx
ftp_passWord=xxxxxx
ftp_list=/maintopad/test/


用perl连接ftp上传html(已经验证不解析任何脚本)

use Net::FTP;
$ftp = Net::FTP->new("172.16.***.*", Timeout => 30)
        or die "Could not connect.\n";
$username = "xxxxxx";
$password = "xxxxxx";
$ftp->login($username, $password)
        or die "Could not log in.\n";
$remotefile = "test.html";
$localfile = "test.html";
$ftp->put($remotefile, $localfile)
        or die "Can not get file.\n";


http://www.189.cn/client/test.html
这里可以做的多了 谁会觉得官网的二级目录是钓鱼呢 传exe apk 当然也可以
如果结合上面那个后台的推送 把钓鱼页面推送到手机上 是不是可信度更高了: )

修复方案:

版权声明:转载请注明来源 s0mun5@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2014-08-05 09:33

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT直接通报给中国电信集团公司处置。

最新状态:

暂无