漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-073854
漏洞标题:国内某短信业务平台存在通用型高危SQL注入漏洞导致短信各网关(移动、联通、电信、小灵通)接入入口和账户信息泄露
相关厂商:cncert国家应急响应中心
漏洞作者: HackBraid
提交时间:2014-08-26 10:04
修复时间:2014-11-24 10:06
公开时间:2014-11-24 10:06
漏洞类型:地下0day/成功的入侵事件
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-08-26: 细节已通知厂商并且等待厂商处理中
2014-08-31: 厂商已经确认,细节仅向厂商公开
2014-09-03: 细节向第三方安全合作伙伴开放
2014-10-25: 细节向核心白帽子及相关领域专家公开
2014-11-04: 细节向普通白帽子公开
2014-11-14: 细节向实习白帽子公开
2014-11-24: 细节向公众公开
简要描述:
可在多个省市推送定制短信!
这次报告主要内容如下
※通过高危SQL注入漏洞,由于权限很高可以直接添加管理员账户并成功入侵拿到一台服务器
※通过对平台业务的认识,发现存在某省(移动,联通,电信,小灵通)短信网关接入账户。再利用某个高大上的软件的各种功能,攻击者可设计出一条推送特定短信到百万级用户的方案
※由于该系统通用并且以省为单位,按照上面思路动动鼠标即可在多个省市推送特制短信。
详细说明:
青海省:
http://110.167.173.18/default.asp 青海气象短信业务平台
登录处存在注入
Sa权限,直接添加管理账户,远程连接
连上数据库查看下管理员账户,super|密码为空
由上图可以看到定制气象短信用户也就35w不到,取消了64w- -!为什么说我能推送定制短信到百万级呢?
短信各网关接入参数,移动、联通、小灵通、电信的登录账户密码都在下面了
以电信CDMA为例
http://125.**.**.5:7001/ismp/spportal/ SP门户
看下有哪些业务产品
业务资费2元,收益60%=1.2元
还有推送短信功能,但是只能推送到定制业务的号段
看到这里感觉这个sp账户虽然权限很高了,但是还是有种种限制。
1.统计号码数量
登上后,我们看到有个号段管理,粗略统计了下青海省移动130W+号码,联通143W+号码,电信120W+号码,小灵通10W,加起来400W号码。
2.构造定制短信
首先选中任务管理--》电信任务管理(或者直接在D盘找到对应的exe执行即可,见下面两图)
然后选择创建通道,归属地区填青海,通道名称填“WooYun漏洞定向推送”(^ ^意淫了)
然后创建任务,选择刚刚创建的发布通道“WooYun漏洞定向推送”
发布内容如下:
3.青海总共定制业务的也就30W个人,我该怎么提高业务量?
首先我们先回到上面的创建任务里的发布用户,点击按业务
那么我们只要给所有用户都订上这个业务就ok啦,到主菜单点击业务处理,选择批量定制,左边把所有号码都导入进来,右边的定制业务选择上图中的某个业务
哈哈,还能把用户全都设定为免费的
这样就能实现任意短信的全省推送了。
上面操作很费时间,发现其实有另外一处更快更省时。在业务处理—批量发送消息
左边导入电话号码,右边导入短信内容
漏洞证明:
通用型证明:
重庆:
http://218.201.40.65:7001/
四川:
http://218.205.236.59/
以四川为例
修复方案:
注入点修补
不要开3389
版权声明:转载请注明来源 HackBraid@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2014-08-31 09:28
厂商回复:
最新状态:
暂无