当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0180693

漏洞标题:中国电信某省公司用户体系控制不严导致内网漫游+玩坏所以终端机(多处系统弱口令+日本影片流出)

相关厂商:中国电信

漏洞作者: 路人甲

提交时间:2016-03-04 02:30

修复时间:2016-04-22 14:38

公开时间:2016-04-22 14:38

漏洞类型:重要敏感信息泄露

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-03-04: 细节已通知厂商并且等待厂商处理中
2016-03-08: 厂商已经确认,细节仅向厂商公开
2016-03-18: 细节向核心白帽子及相关领域专家公开
2016-03-28: 细节向普通白帽子公开
2016-04-07: 细节向实习白帽子公开
2016-04-22: 细节向公众公开

简要描述:

内容有点多,写的有点乱,望谅解!
求过!
这个漏洞是我在寒假发现的,整理到现在才发。

详细说明:

这个漫长的故事是从一个DUB爆破到的密码开始的,容我细细道来,望君静静观赏!

放学回家发现服务器上的goog.txt中多了一个这样的账户:**.**.**.**@administrator;???  哦这个弱口令弱的还不错啊!(由于时间原因此账号已经被管理员改密码,但不影响今天的故事。)
QQ截图20160303224429.png



哦啊啊哦哦,甘肃省电信的IP


我快速的阅览了一下正在运行的程序,哦是做后端的人的电脑,而且不止一个人再用,还好管理员不在线!

看到这个界面我一开始以为是QQ后来才发现是易信。
QQ截图20160303220339.png



由于我们家没有电信手机,此处不做深入研究。
接下来我发现了正在连接的BAS,这个有趣:



3.JPG




哦,还有好几台可连接,到时候再慢慢玩,我们继续。接着我发现管理员登录了一个系统但未退出(之后我也找到了他的密码,但文件太多忘记放在了哪里,哈哈。)



7.png



感觉啥都有,这台服务器挺重要的嘛!



8.JPG






2.JPG




先创建一个管理员账户再说:**.**.**.**@help$;123(现已删除)
二话不说把服务器的数据传到民用云端-百度云回家慢慢看,不过在临走之前我有发现了一些东西,改变了这个故事的结尾。
(一)某管理系统的明文密码:



5.JPG




(二)还有这事什么,我不太懂啊。



6.JPG




(三)发现了一台保存密码的XP远程连接,秒连接啊(以下故事主要以此台服务器为主)



QQ截图20160303232001.png


刚刚说到了那台保存密码的XP,但只知道用户名为administrator而不知道密码,后来一想都连上了,在创建一个账户不就行了,于是就有了以下账户:

**.**.**.**@help;123 (仍然可以用)


好像是管理终端机和基站的可内网的机子。
先上传文件到云端,下载之后慢慢分析,以下是分析结果:

漏洞证明:

0x01 终端机的Telnet管理
本人在文档中发现了好多终端机的内网管理地址(**.**.**.**主机下管理)
下面我选择了部分有代表性的文档:

QQ截图20160303213545.png

QQ截图20160303213608.png

QQ截图20160303213812.png

QQ截图20160303213936.png

QQ截图20160303214106.png


但不知道密码怎么办,没事我找到了一份文档:

一.建立telnet,只用密码"huawei"
用consle线
1.进入配置界面
<SwitchA>system-view
2.进入用户界面视图
[SwitchA]user-interface vty 0 4
3.设置认证方式为密码验证方式
[SwitchA-ui-vty0-4]authentication-mode password
4.设置登陆验证的password为明文密码"huawei"
[SwitchA-ui-vty0-4]set authentication password simple huawei
5.配置登陆用户的级别为最高级别3(缺省为级别1)
[SwitchA-ui-vty0-4]user privilege level 3	
6.开启远程登陆
[SwitchA-ui-vty0-4]protocol inbound telnet
[SwitchA-ui-vty0-4]quit					//退出
7.建立vlan2为主网关,IP为**.**.**.**/24
[SwitchA]vlan 2						//创建vlan2
[SwitchA-vlan2]ip-subnet-vlan 1 ip **.**.**.** 24 	//指定IP子网(可按实际情况配IP)					
[SwitchA-vlan2]quit
[SwitchA]interface Vlanif 2				//创建vlanif2接口
[SwitchA-Vlanif2]ip address **.**.**.** 24  		//建立网关**.**.**.** **.**.**.** (可按实际情况配IP)
[SwitchA-Vlanif2]quit
8.将vlan2配置到电口1					//用电口1做为出口
[SwitchA]interface Ethernet0/0/1			//进入电口1
[SwitchA-Ethernet0/0/1]port default vlan 2		//配置默认vlan2
[SwitchA-Ethernet0/0/1]quit
9.保存配置
[SwitchA]quit						//退出配置界面
<SwitchA>save						//保存配置.注意保存,不保存的情况下,交换机重启会丢失刚才的配置


这个“只”字用的惊天地泣鬼神啊,这个弱口令“huawei”用的好啊,展现了我国企业的强大。
于是我顺便看一下数据是否可用(如图,完全可用)

哈哈.png


这个被控制了危害可不小啊!(下图为某成功Telnet连接的大端机)

QQ截图20160303211433.png


点到为止。
0x02 网络拓扑结构&安装方案的泄露
这个危害也不小,但就此我们一笔带过(选取部分)

割接后拓扑图.png

QQ截图20160303214323.png


这个是太平洋保险的,下载地址:

http://**.**.**.**/s/1sko2Dq9


0x03 系统及用户数据的泄露
电信电视机顶盒用户信息

QQ截图20160303210133.png


基站配置信息

QQ截图20160303210239.png

QQ截图20160303211438.png

QQ截图20160303212435.png


U2000及监控

QQ截图20160303214432.png

QQ截图20160303215624.png


QQ截图20160303213525.png


VPN信息及宽带用户信息

QQ截图20160303214818.png

QQ截图20160303220154.png

QQ截图20160303215439.png


数据库&其他机房重要资料

QQ截图20160303215322.png

QQ截图20160303220522.png

QQ截图20160303215145.png

QQ截图20160303220544.png


0x04 安全报告和私人、企业信息
只放几张,太多不厚道。

正面.jpg

QQ截图20160304000053.png

QQ截图20160303214907.png


还有这个,好好玩的样子。

QQ截图20160303210424.png

QQ截图20160303210622.png


0x05 附件

链接:http://**.**.**.**/s/1qWUNC64 密码:iabi


就是这样,故事暂时告一段落。

修复方案:

你们更专业!
求过~~~~~~~

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2016-03-08 14:38

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向中国电信集团公司通报,由其后续协调网站管理部门处置.

最新状态:

暂无