中国联通WLAN某站目录遍历漏洞泄露多个管理平台登录口令（可远程控制大量夜店路由器）

2017年4月20日07:29:42评论324 views字数 268阅读0分53秒阅读模式

摘要

2016-04-19：细节已通知厂商并且等待厂商处理中
2016-04-22：厂商已经确认，细节仅向厂商公开
2016-05-02：细节向核心白帽子及相关领域专家公开
2016-05-12：细节向普通白帽子公开
2016-05-22：细节向实习白帽子公开
2016-06-06：细节向公众公开

漏洞概要关注数(15) 关注此漏洞

缺陷编号： WooYun-2016-198055

漏洞标题：中国联通WLAN某站目录遍历漏洞泄露多个管理平台登录口令（可远程控制大量夜店路由器）

漏洞作者： ISP-Killer

提交时间： 2016-04-19 11:30

公开时间： 2016-06-06 16:50

漏洞类型：任意文件遍历/下载

危害等级：高

自评Rank： 15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：目录遍历任意文件遍历下载

0人收藏

漏洞详情

披露状态：

简要描述：

开关路由器
拉黑连接手机
控制Portal页面钓鱼。。。
以后去夜店千万别连WIFI哦。。。

详细说明：

http://**.**.**.**/

apache服务器配置问题

下载UniFi_Status.tar.gz

解压后发现大量系统密码

code 区域

<?php
 /**
  * Created by PhpStorm.
  * User: tru2dagame
  * Date: 15/2/11
  * Time: 下午6:49
  */
 date_default_timezone_set('PRC');
 set_time_limit(0);
 $config = array(
 /*
     array(
         'server' => "**.**.**.**:8443",
         'username' => "admin",
         'password' => "unicom3824",
         'version' => 'v3',
     ),
 
     array(
         'server' => "**.**.**.**:8443",
         'username' => "admin",
         'password' => "unicom3824",
         'version' => 'v4',
     ),
  */
  array(
         'server' => "**.**.**.**:8443",
         'username' => "linktechunicom",
         'password' => "unicom123",
         'version' => 'v4',
     ),
 
 );
 
 $db_config = array(
     'host' => '**.**.**.**',
  'user' => 'root',
  'pass' => '',
     'name' => 'unifi_status',
     'port' => '3306',
 );
 
 require_once(ROOT_PATH . './api/v1.1/unifi.class.php');
 require_once(ROOT_PATH . './api/v1.1/mysql.class.php');
 
 // $unifi = new UniFi($config);
 $mysql = UbntMysql::get_instance($db_config);
 
 
 /*
 
 CREATE TABLE IF NOT EXISTS `default` (
 `id` int(11) NOT NULL,
   `_id` varchar(24) NOT NULL,
   `ap_mac` varchar(17) NOT NULL,
   `assoc_time` int(10) unsigned NOT NULL,
   `bytes` int(10) unsigned NOT NULL,
   `channel` tinyint(3) unsigned NOT NULL,
   `disassoc_time` int(10) unsigned NOT NULL,
   `duration` int(10) unsigned NOT NULL,
   `hostname` varchar(32) NOT NULL,
   `ip` varchar(16) NOT NULL,
   `is_guest` tinyint(3) unsigned NOT NULL,
   `mac` varchar(17) NOT NULL,
   `name` varchar(32) NOT NULL,
   `radio` varchar(10) NOT NULL,
   `roam_count` int(10) unsigned NOT NULL,
   `rx_bytes` varchar(64) NOT NULL,
   `site_id` varchar(24) NOT NULL,
   `tx_bytes` varchar(64) NOT NULL,
   `user_id` varchar(24) NOT NULL
 ) ENGINE=MyISAM DEFAULT CHARSET=utf8;
 
 
 ALTER TABLE `default`
  ADD PRIMARY KEY (`id`), ADD KEY `assoc_time` (`assoc_time`), ADD KEY `mac` (`mac`);
 
 ALTER TABLE `default`
 MODIFY `id` int(11) NOT NULL AUTO_INCREMENT;
 
 */

测试都可用

'username' => "linktechunicom",

'password' => "unicom123",

漏洞证明：

夜店1

夜店 2

夜店3

各种夜店

修复方案：

修改Apache服务器权限

版权声明：转载请注明来源 ISP-Killer@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：8

确认时间：2016-04-22 16:47

厂商回复：

CNVD确认并复现所述情况，已经转由CNCERT向中国联通集团公司通报，由其后续协调网站管理部门处置。

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-04-19 11:34 | 泪雨无魂 ( 普通白帽子 | Rank:318 漏洞数:72 | too young too simple)

0

以后去夜店千万别连WIFI哦。。。

1# 回复此人
2016-04-19 11:40 | Dotaer ( 路人 | Rank:28 漏洞数:8 | 多学习，多挖洞！)

0

以后去夜店千万别连WIFI哦。。。

2# 回复此人
2016-04-19 11:43 | 天朝 ( 路人 | Rank:15 漏洞数:1 | too young too simple)

2

去夜店不做事？还链接wifi上网？你们真逗

3# 回复此人
2016-06-06 21:14 | KeyMyran ( 路人 | Rank:2 漏洞数:2 | 不是高富帅不是暖男。)

1

去夜店还有空连WIFI，是不是太天真了

4# 回复此人
2016-06-07 09:12 | 黑色的屌丝 ( 实习白帽子 | Rank:39 漏洞数:6 | →_→→_→)

0

还没有修复呢。。

5# 回复此人

漏洞概要 关注数(15) 关注此漏洞

缺陷编号： WooYun-2016-198055

漏洞标题： 中国联通WLAN某站目录遍历漏洞泄露多个管理平台登录口令（可远程控制大量夜店路由器）

相关厂商： 中国联通