漏洞概要
关注数(24)
关注此漏洞
漏洞标题:中国联通内部漫游-2(涉及上百管理系统/后台)
提交时间:2015-08-24 10:58
修复时间:2015-10-10 08:54
公开时间:2015-10-10 08:54
漏洞类型:敏感信息泄露
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2015-08-24: 细节已通知厂商并且等待厂商处理中
2015-08-26: 厂商已经确认,细节仅向厂商公开
2015-09-05: 细节向核心白帽子及相关领域专家公开
2015-09-15: 细节向普通白帽子公开
2015-09-25: 细节向实习白帽子公开
2015-10-10: 细节向公众公开
简要描述:
RT
第一发
http://www.wooyun.org/bugs/wooyun-2015-0135752
详细说明:
这些账号呢基本都能登陆联通内部OA,也能登陆一些系统
下面账号未测试能否登陆
测试账号:
我翻了无数邮箱,找到个东西
手机OA移动办公客户端设置指引.docx
摘录如下:
都有了
邮箱这不就是吗
进去https://pcmoa.chinaunicom.cn
用户名密码其实就是邮箱去掉后缀
以下为涉及的上百个系统
部分
以及部分登陆的系统
内部团购
述职系统
通讯录
运营平台
业务流程管理平台
资金管理系统
根据OA手机,手机也可以啊
什么证书,APK下载地址:
一、访问一下网址,下载对应手机系统的软件证书。
http://woa.unicomgd.com/moa.htm
漏洞证明:
OA手册啊
:一、访问一下网址,下载对应手机系统的软件证书。
http://woa.unicomgd.com/moa.htm
二、Citrix软件设置
苹果手机设置
1. 在IPHONE上打开http://woa.unicomgd.com/moa.htm
2. 点击“下载安装配置文件”链接,到网盘下载安装配置文件。
点击安装
3. 再次登录http://woa.unicomgd.com/moa.htm,点击“下载Citrix客户端”在app store中下载安装客户端软件
4. 在桌面上点击“移动办公手机设置”
输入相关信息:
地址:https://pcmoa.chinaunicom.cn
用户名:统一邮件账号
密码:不用填
域:GD
5. 保存后弹出输入密码提示,输入集团邮箱密码:
6. 确定后就可以点击“广东联通办公”
7. 即可登录到移动办公了。
安卓手机设置
一、 手机办公证书安装
将证书文件“CNC ROOT CA.cer”放入SD卡根目录(即:/Sdcard路径下),如下图:
如果使用RootExplore文件管理器,截图如下:
进入“设置”——“安全”——“从设备安装证书”,点击确定,即可。
安卓4.0+系统在安装第三方证书后,系统会强行要求用户设置一项锁屏,用户可自行选择:密码锁屏、图案锁屏等。
二、 Citrix软件安装及设置
因国行手机将安卓系统中原生的Google服务以及大部分Google软件全部和谐,故无法从安卓的官方市场下载到Citrix。请大家检查,如果手机中存在谷歌官方市场(Google Play 商店),那么可以从市场进行下载(该方法要求必须要有Google账号)。
注:谷歌商店中的Citrix存在2个版本,请勿安装测试版(Beta)。
如果您的手机上没有Google应用,那么请通过第三方程序进行安装。
安装完成Citrix后,请按照下图进行设置:
服务器地址:https://pcmoa.chinaunicom.cn
说明:此处可以根据个人习惯任意填写
用户名:统一邮箱账号
密码:统一邮箱密码
域:gd
点击应用程序,打开“广东联通办公”,稍等即可。
修复方案:
版权声明:转载请注明来源 DNS@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:14
确认时间:2015-08-26 08:53
厂商回复:
CNVD确认并复现所述漏洞情况,已经转由CNCERT向中国联通集团公司通报,由其后续协调网站管理单位处置。
最新状态:
暂无