漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2016-0207060
漏洞标题:亿安天下客服系统沦陷(泄漏大量用户姓名/手机号/录音)办公系统均沦陷(泄漏大量用户敏感信息/姓名/手机号/身份证号/地址/ip/可以开通/续费/停止宽带/已经shell)
相关厂商:北京亿安天下网络科技有限公司
漏洞作者: px1624
提交时间:2016-05-12 20:10
修复时间:2016-06-30 12:20
公开时间:2016-06-30 12:20
漏洞类型:未授权访问/权限绕过
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2016-05-12: 细节已通知厂商并且等待厂商处理中
2016-05-16: 厂商已经确认,细节仅向厂商公开
2016-05-26: 细节向核心白帽子及相关领域专家公开
2016-06-05: 细节向普通白帽子公开
2016-06-15: 细节向实习白帽子公开
2016-06-30: 细节向公众公开
简要描述:
客户主要在北京,覆盖全国,1w多个客户吧,有很多是写字楼,公司,业务有端口及链路租用,专线、托管、小区宽带等。看了下,客户很多都是一些还蛮有名的公司额~
2个系统是2个单独的系统,分别在2个不同的服务器上,乌云让打包在一起发,那就打包下吧。
详细说明:
首先是客服系统 http://**.**.**.**/
登录功能设计缺陷,可以爆破,成功爆破出一枚弱口令。
zhangli zhangli
登录后台,大量敏感信息。
大量的姓名、手机号、录音等信息。并且很多录音都是来问密码的,听了之后,就知道客户的密码是啥了啊!
然后后台用户名列表
看到了admin,点击编辑,可以直接看到明文密码。
不过登录后发现,这个admin的权限还不如zhangli啊~
下面是办公系统 http://**.**.**.**/manager/login.php
选择管理员登录,测试发现存在盲注,但是应该是由于帐号密码是单独判断的,所以万能密码不能直接登入。那么就sqlmap跑一下吧:
7个数据库,找到了管理员的帐号密码
admin 07ba656f73b5ed2bae413f08d7845077
解密后为
admin vgs02i
成功登录超管权限进入系统:
超管权限的后台权限很大,我随便截图一些证明下吧。
开通宽带:
用户宽带的续费、修改、删除等操作。
大量用户的姓名、手机号、地址等信息。
可以对在线用户实行 下线、挂起操作,也就是时时断网的权限。
然后我好奇,点了一下上图中的 导出网监数据 的选项,顿时吓尿了!
一万多个用户的信息,包括姓名、手机号、身份证号、装机地点、用户imsi帐号全部历历在目!奉劝大家还是要做个好人啊,这功能就是查水表专用啊!
总计收入了137亿了,土豪啊!
然后财务收支、报表等信息也全有
后台的其他100多个帐号也可以随便操作。
订单信息也历历在目,可以随便操作。
集团公司类的客户有739个,很多都是蛮有名的大公司!
ip信息
还有小区管理员功能,也可以随便操作
点击修改,F12可以直接看到小区管理员的密码,基本上都是弱口令,记得修改吧。
大量的合同信息泄漏 http://**.**.**.**/manager/contract/index.php
点击修改,进入详情,可以看到合同扫描件信息,也可以随便修改。http://**.**.**.**/manager/contract/contract_modify.php?id=311
然后,上传位置没有限制,可以直接传木马,进行shell
很轻松就shell了
服务器一共5个站,其他4个基本都是纯展示,有2个有数据库,但是没有配置,应该是测试站。
额,最后忘了说了,可以看到1万多个用户任意的帐号密码等信息。在订单管理功能处~
漏洞证明:
OK就这样,证明如上。客户里面还有很多都是比较有名的公司呢,问题很严重啊!
修复方案:
客服系统:
1 修改登录可以爆破的缺陷问题
2 修改弱口令密码
3 修改后台用户的密码明文保存并且可以被读取的问题
办公系统:
1 修改sql漏洞
2 修改弱口令密码
3 修改上传点没限制可以传木马shell的问题
版权声明:转载请注明来源 px1624@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:11
确认时间:2016-05-16 12:12
厂商回复:
CNVD未直接复现所述情况,暂未建立与网站管理单位的直接处置渠道,待认领。
最新状态:
暂无