漏洞概要 关注数(3) 关注此漏洞
缺陷编号: WooYun-2016-180582
漏洞标题: 虚拟运营商安全之分享通信某站问题打包(登录绕过、查询任意用户实时/历史账单、通话详单等等)
相关厂商: cncert国家互联网应急中心
漏洞作者: un10ad
提交时间: 2016-03-03 20:40
公开时间: 2016-04-21 10:50
漏洞类型: 设计缺陷/逻辑错误
危害等级: 高
自评Rank: 20
漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系
Tags标签: 设计不当 认证设计不合理
漏洞详情
披露状态:
2016-03-03: 细节已通知厂商并且等待厂商处理中
2016-03-07: 厂商已经确认,细节仅向厂商公开
2016-03-17: 细节向核心白帽子及相关领域专家公开
2016-03-27: 细节向普通白帽子公开
2016-04-06: 细节向实习白帽子公开
2016-04-21: 细节向公众公开
简要描述:
分享通信(soshare)成立于2006年,是获得国家批准的移动通信虚拟运营商。主要经营移动通信产品(170手机号等)、行业化应用、移动互联网产品,然而某分站登录爆破、登录绕过、显示用户姓名、实时/历史账单、通话详单、流量详单、短信详单、套餐余量、余额查询、PUK 码查询等大量平行权限/验证设计部合理/二次认证绕过,导致用户信息全部GG...
详细说明:
分享通信手机版
实际上本*是没有这种手机卡的,某天朋友说送我一张这个卡,怀着好奇的心打开了分享通信的官网...
可以在官网上查到旗下所有号码的号段:
接下来根据官网首页引导来到手机版登录页面,任意号码号段 1700120**** 为例:
登录爆破:
当在用户名输入任意手机号码,密码任意,点击登录时,网页会先发送一个包到服务器请求此号码是否存在或激活:
当用户存在时,我们来看看都返回了些什么:
是的,你没有看错,的确是返回了userPassword及其他的一些用户详情!(后来发现是服务密码)
用户存在,则密码登录:
根据以上2个请求包,编写小段 python 来获得本号段一极小部分存在的用户以及登录爆破:
返回长度350即为密码正确,登录:
登录绕过:
当用户存在,但是密码又爆破不了时咋办?没关系,这个还能绕过..
注意登录失败时的响应:
再注意登录成功时的响应:
是的,没错,抓包替换掉就 OK!
登录后,也和移动联通等运营商一样可以查询用户的所有相关信息:
接下来以套餐余量为例,进入大把的平行权限时间:
查询用户套餐余量时的数据包:
平行权限查看他人数据:
任意用户实时/历史账单查询/显示客户姓名:
通话详单查询需要服务密码,当然这个在一开始服务器就告诉我们了:
然而通话详单这样有二次认证的也一样平行权限:
流量详单:
短信详单:
余额查询:
PUK码查询:
当然已经有用户的服务密码了,就可以给用户订套餐包啊加油包什么的了:
漏洞证明:
修复方案:
向移动联通学习
加强权限控制,访问权限什么的
...
其实我啥子都不晓得 莫问我
版权声明:转载请注明来源 un10ad@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2016-03-07 10:50
厂商回复:
CNVD未直接复现所述情况,已由CNVD通过网站管理方公开联系渠道向其邮件通报,由其后续提供解决方案。
最新状态:
暂无
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
评论