奇葩方式进去广东省联通沃盟（可发短信给全省渠道或任意个人/实名制信息泄露/0元购机自己审核等）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0140040

漏洞标题：奇葩方式进去广东省联通沃盟（可发短信给全省渠道或任意个人/实名制信息泄露/0元购机自己审核等）

漏洞作者：孔卡

提交时间：2015-09-12 09:54

修复时间：2015-10-29 23:14

公开时间：2015-10-29 23:14

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-09-12：细节已通知厂商并且等待厂商处理中
2015-09-14：厂商已经确认，细节仅向厂商公开
2015-09-24：细节向核心白帽子及相关领域专家公开
2015-10-04：细节向普通白帽子公开
2015-10-14：细节向实习白帽子公开
2015-10-29：细节向公众公开

简要描述：

广东联通的省级B2B渠道平台，奇葩设计逻辑导致直接最高权限登录后台，功能太强大了---表哥们给朵小云吧，中秋不发月饼只要云~~~废话不多说，开始了~~~

详细说明：

这部分主要说漏洞成因：
http://www.wom186.com/ 直接打开会发现，是一个账户密码登录页面，甚是恼人啊~~~~没办法，看能不能找回密码呢？

发现admin账号存在，诶~~~要填验证码，试过4位的不行，那爆破还是算了，就算进去了也显得过程不好玩儿不是？
右键查看下源码，发现了点东西，贴出关键部分源码

<div class="form_div">
						<form method="post" id="resetpwdForm">
						<input type="hidden" id="userId" />
						<input type="hidden" id="isValid" />
						<input type="hidden" id="userType" />
						<input type="hidden" id="groupDetailId" />
                        <input type="hidden" id="securityCodeToken" />
							<div class="register">
								<ul>
									<li step="1" class="li" id="accountLi">
										<b>※</b>
										<div class="label">
											帐号：
										</div>
										<div class="inputOuter">
											<input id="account_val" class="inputStyle" type="text" name="userMap['account']"/>
										</div>
										<div id="account_msg" class="msg">
											
										</div>
										<br class="clear"/>
									</li>
									<li step="1" class="li" id="inputVcLi">
										<b></b>
										<div class="label">
											验证码：
										</div>
										<div class="inputVcOuter">
				            				<input type="text" class="inputVcStyle" id="inputVc" maxlength="5" />
				           				 </div>
										<div class="left">
                                            <a href="javascript:void(0);" id="change_code_img"> 
                                            	<img src="http://www.wom186.com/verification_code.jpg" height="39" width="80" />
                                            </a>
										</div>
                                        <a class="btn2-main left" style="color: #157ABF;line-height: 40px;margin-left: 5px;" id="changeVcImg">看不清换一张</a>
										<div id="inputVc_msg" class="msg"></div>
										<br class="clear"/>
									</li>
									<li step="2" class="li" id="phoneLi" style="display: none;">
										<b></b>
										<div class="label">
											手机号：
										</div>
										<div class="inputOuter">
											<input id="phone_val" class="inputStyle" type="text" disabled="disabled"/>
										</div>
										<div id="phone_msg" class="msg">
										</div>
										<br class="clear"/>
									</li>
									<li step="2" class="li" id="msgVcCodeLi" style="display: none">
										<b>※</b>
										<div class="label">
											验证码：
										</div>
										<div class="inputOuter">
											<input id="msgVcCode" class="inputStyle" type="text" />
										</div>
										<div id="msgVcCode_msg" class="msg">
											
										</div>
										<br class="clear"/>
									</li>
									<li step="2" class="li" id="getVCBtnLi" style="display: none;padding-left: 120px;padding-top: 10px;height:30px;">
										<div class="btn2" id="getVCBtn">
											<div class="btn2-warp">
												<div class="btn2-top left">&nbsp;</div>
												<!-- <a class="btn2-main left">免费获取验证码</a> -->
												<a style="text-decoration:none;" href="###" class="a_btn">免费获取验证码</a>
												<br class="clear"/>
											</div>
										</div>
										<span id="getVcTipSpan" style="display: none;">短信发送成功，重新发送(' + wait + ')</span>
										<br class="clear"/>
									</li>
									<li step="3" class="li" id="newPasswordLi" style="display: none">
										<b>※</b>
										<div class="label">
											新密码：
										</div>
										<div class="inputOuter">
											<input id="newPassword" class="inputStyle" type="password" onselectstart="return false;"
                                                   ondragenter="return false;"   autocomplete="off"
                                                   onpaste="return false;" />
										</div>
										<div id="newPassword_msg" class="msg">
											
										</div>
										<br class="clear"/>
									</li>
									<li step="3" class="li" id="repasswordLi" style="display: none">
										<b>※</b>
										<div class="label">
											确认密码：
										</div>
										<div class="inputOuter">
											<input id="repassword" class="inputStyle" type="password" onselectstart="return false;"
                                                   ondragenter="return false;"   autocomplete="off"
                                                   onpaste="return false;" />
										</div>
										<div id="repassword_msg" class="msg">
											
										</div>
										<br class="clear"/>
									</li>
									<li>
										<div class="textcenter">
											<div class="btn2" id="nextstepbtn">
												<div class="btn2-warp">
													<div class="btn2-main button_ok button_ok_red">下一步</div>
												</div>
											</div>
										</div> 
									</li>
								</ul>
							</div>

简单分析下就得出重置密码分三步（上面的源码里叫作step1,2,3）：
1. 输入账号
2. 填写收来的短信验证码
3.设置新密码
嗯，简直是废话~~~~那我们的目标是 step3!
再看看数据包，奇葩现象出现了，第一步填写要找回的账号admin后，自动发出了俩post包

OK，亮点在第二个包

userMap.step=1 userMap.pwd 又留空，结合上面的分析，这不就是第一步么，密码还是空的，再看下这个包对应的回包

嗯，也是step1，送到repeater里，大胆的把userMap.step=1改为3，userMap.pwd给加上我们要设置的密码，奇迹出现了~~~~

重置成功！账号 admin 密码 woaini@123 表哥们审核完后记得给这里mask一下哈

登录后选地市平台专区这里进入，就是广东省全省的渠道了，国代那里授权还没统一，漏洞证明部分开始爆料~~~~

漏洞证明：

体育老师说写文章要首尾呼应，不能当标题党~~~~
0x01 官方身份任意发短信给全省渠道或者任意联通用户

1万多个营业网点都可以推送骚扰短信了，给任意用户发的话，编辑下资料，把用户信息加入到营业网点这里就好，或者直接抓包截断改下手机号也成。
0x02 实名制信息泄露（里面还包含SIM卡串号，结合峰会的4G卡复制，不知什么时候能实现直接串号复制）

excel看着方便点
0x03 0元购机自己审核

这里直接可以下单购买手机了

手机卖多少咱说了算哈

其实这价差也可以接受哈，联通手机卖的不贵，嗯嗯。
0x04 其他一些信息

哇，这么多渠道~~~~

8600多条支付信息。。七七八八的信息好多，强大的后台~~~~~

修复方案：

逻辑讲清楚了，不在后台测试注入和getshell了露点的问题够多了~~~~

版权声明：转载请注明来源孔卡@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2015-09-14 23:12

厂商回复：

CNVD确认所述情况，已经转由CNCERT下发给广东分中心，由其后续协调网站管理单位处置。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0140040

漏洞标题：奇葩方式进去广东省联通沃盟（可发短信给全省渠道或任意个人/实名制信息泄露/0元购机自己审核等）

相关厂商：中国联通

漏洞作者：孔卡

提交时间：2015-09-12 09:54

修复时间：2015-10-29 23:14

公开时间：2015-10-29 23:14

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源孔卡@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0140040

漏洞标题：奇葩方式进去广东省联通沃盟（可发短信给全省渠道或任意个人/实名制信息泄露/0元购机自己审核等）

相关厂商：中国联通

漏洞作者： 孔卡

提交时间：2015-09-12 09:54

修复时间：2015-10-29 23:14

公开时间：2015-10-29 23:14

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0140040"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 孔卡@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：孔卡

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源孔卡@乌云