漏洞概要
关注数(24)
关注此漏洞
漏洞标题:我是如何测试全国联通校园通信平台服务器的(sms数据泄露可控制全国任意高校等短信收发)
提交时间:2015-04-19 20:59
修复时间:2015-06-06 11:06
公开时间:2015-06-06 11:06
漏洞类型:成功的入侵事件
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2015-04-19: 细节已通知厂商并且等待厂商处理中
2015-04-22: 厂商已经确认,细节仅向厂商公开
2015-05-02: 细节向核心白帽子及相关领域专家公开
2015-05-12: 细节向普通白帽子公开
2015-05-22: 细节向实习白帽子公开
2015-06-06: 细节向公众公开
简要描述:
审核君能否慷慨送一枚小小的闪电
详细说明:
首先看到了管理平台:
通过信息收集,猜解出了北京联合大学应用文理学院的账号和密码
顺利登陆:
访问组织机构上传URL:
经过测试,首先会对文件内容进行过滤控制,然后控制扩展名规则
逻辑简洁如下,拿asp来举例:
片段1:
片段2:
可以看到
风险控制规则如果匹配了图片的特征,则不判断后缀直接进行上传,否则进行后缀的过滤
图片展示:
首先直接复制了一个一句话webshell,改名为qq.asp,上传失败
于是合成了一个图片的webshell用做测试,后缀依然为asp,可以看到上传成功:
shell的地址:
密码pass
方便审核管理员复现
找到数据库敏感信息:
连接数据库,可以获得所有的manager信息
部分使用该平台的单位和高校:
可控制全国任意旗下政府机关、高校、企业等短信收发
发给自己短信测试:
在平台也可以自定义添加自己的号码数据库,自定义短信条数和数额,来免费发送短信给他人
另外该数据库和校园一卡通绑定,危害很大,并有金钱漏洞可钻
202.108.49.1/24 段均为联通IP段,可进一步内网测试,这里不带有目的的测试,故不继续进行。
漏洞证明:
首先看到了管理平台:
通过信息收集,猜解出了北京联合大学应用文理学院的账号和密码
顺利登陆:
访问组织机构上传URL:
经过测试,首先会对文件内容进行过滤控制,然后控制扩展名规则
逻辑简洁如下,拿asp来举例:
片段1:
片段2:
可以看到
风险控制规则如果匹配了图片的特征,则不判断后缀直接进行上传,否则进行后缀的过滤
图片展示:
首先直接复制了一个一句话webshell,改名为qq.asp,上传失败
于是合成了一个图片的webshell用做测试,后缀依然为asp,可以看到上传成功:
shell的地址:
http://202.108.49.130/xppic/yywlpic.asp 密码pass
方便审核管理员复现
找到数据库敏感信息:
CONNSTRQ="Driver={SQL Server};Server=202.108.49.131,15002;Database=dxlt;Uid=webuser;Pwd=qaz*()p[]9083;"
CONNSTR="Driver={SQL Server};Server=202.108.49.131,15002;Database=SunTechRun;Uid=webuser;Pwd=qaz*()p[]9083;"
CONNSTR2="Driver={SQL Server};Server=202.108.49.131,15002;Database=SunTechHis;Uid=webuser;Pwd=qaz*()p[]9083;"
连接数据库,可以获得所有的manager信息
部分使用该平台的单位和高校:
可控制全国任意旗下政府机关、高校、企业等短信收发
发给自己短信测试:
在平台也可以自定义添加自己的号码数据库,自定义短信条数和数额,来免费发送短信给他人
另外该数据库和校园一卡通绑定,危害很大,并有金钱漏洞可钻
202.108.49.1/24 段均为联通IP段,可进一步内网测试,这里不带有目的的测试,故不继续进行。
修复方案:
版权声明:转载请注明来源 黑暗游侠@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:12
确认时间:2015-04-22 11:04
厂商回复:
CNVD确认并复现所述情况,已经转由CNCERT向中国联通通报,由其后续协调网站管理部门处置.
最新状态:
暂无
