运营商安全之中国联通某系统root权限注入(4万多用户手机号明文密码泄露)

发表于 2015年07月03日
WooYun漏洞库

漏洞概要

缺陷编号：WooYun-2015-0123895

漏洞标题：运营商安全之中国联通某系统root权限注入(4万多用户手机号明文密码泄露)

漏洞详情

披露状态：

2015-07-03: 细节已通知厂商并且等待厂商处理中
2015-07-03: 厂商已经确认，细节仅向厂商公开
2015-07-13: 细节向核心白帽子及相关领域专家公开
2015-07-23: 细节向普通白帽子公开
2015-08-02: 细节向实习白帽子公开
2015-08-17: 细节向公众公开

简要描述：

跟着管管侠的脚步。。
运营商安全之中国联通某系统root权限注入(4万多用户手机号明文密码泄露\妈妈再也不用担心我的流量不够用了)

详细说明：

**.**.**.**:8888/woo-mina/login.jsp

1	...:8888/woo-mina/login.jsp

这个是在联通一起沃app抓到的，登陆入口抓包

POST /woo-mina/rest/login/login HTTP/1.1<br>
Host: **.**.**.**:8888<br>
Proxy-Connection: keep-alive<br>
Content-Length: 32<br>
Accept: */*<br>
Origin: **.**.**.**:8888<br>
X-Requested-With: XMLHttpRequest<br>
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.81 Safari/537.36<br>
Content-Type: application/x-www-form-urlencoded; charset=UTF-8<br>
Referer: **.**.**.**:8888/woo-mina/login.jsp<br>
Accept-Encoding: gzip, deflate<br>
Accept-Language: zh-CN,zh;q=0.8<br>
Cookie: JSESSIONID=CD2C6E558F3E19F6317C119827DB7F18username=talkweb&password=123456

POST /woo-mina/rest/login/login HTTP/1.1

Host: **.**.**.**:8888

Proxy-Connection: keep-alive

Content-Length: 32

Accept: */*

Origin: **.**.**.**:8888

X-Requested-With: XMLHttpRequest

User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.81 Safari/537.36

Content-Type: application/x-www-form-urlencoded; charset=UTF-8

Referer: **.**.**.**:8888/woo-mina/login.jsp

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.8

Cookie: JSESSIONID=CD2C6E558F3E19F6317C119827DB7F18username=talkweb&password=123456

username可注入。

<mask>*****atabas*****<br>
*****tion_s*****<br>
*****ysq*****<br>
*****ance_s*****<br>
*****est*****<br>
***** w*****<br>
**********<br>
*****e: w*****<br>
*****abl*****<br>
*****-------*****<br>
*****       *****<br>
*****       *****<br>
*****       *****<br>
*****prise  *****<br>
*****fo     *****<br>
*****fo_his *****<br>
*****_award *****<br>
*****_sign  *****<br>
*****_sign_b*****<br>
*****raise  *****<br>
*****raise_h*****<br>
*****info   *****<br>
*****info_ex*****<br>
*****info_hi*****<br>
*****in     *****<br>
*****       *****<br>
*****prise  *****<br>
*****he     *****<br>
*****ou_fail*****<br>
*****che    *****<br>
*****che_his*****<br>
*****fo     *****<br>
*****fo_his *****<br>
*****age    *****<br>
*****       *****<br>
*****ster_in*****<br>
*****       *****<br>
*****_his   *****<br>
*****rror_de*****<br>
*****rror_st*****<br>
*****try    *****<br>
*****       *****<br>
*****       *****<br>
*****-------*****<br>
**********<br>
*****e: w*****<br>
*****user*****<br>
*****try*****<br>
*****---+----*****<br>
*****   | use*****<br>
*****---+----*****<br>
*****xc | tal*****<br>
*****---+----*****<br></mask>

<mask>*****atabas*****

*****tion_s*****

*****ysq*****

*****ance_s*****

*****est*****

***** w*****

**********

*****e: w*****

*****abl*****

*****-------*****

***** *****

*****prise *****

*****fo *****

*****fo_his *****

*****_award *****

*****_sign *****

*****_sign_b*****

*****raise *****

*****raise_h*****

*****info *****

*****info_ex*****

*****info_hi*****

*****in *****

***** *****

*****prise *****

*****he *****

*****ou_fail*****

*****che *****

*****che_his*****

*****fo *****

*****fo_his *****

*****age *****

***** *****

*****ster_in*****

***** *****

*****_his *****

*****rror_de*****

*****rror_st*****

*****try *****

***** *****

*****-------*****

**********

*****e: w*****

*****user*****

*****try*****

*****---+----*****

***** | use*****

*****---+----*****

*****xc | tal*****

*****---+----***** </mask>

<mask>*****e: w*****<br>
*****_regist*****<br>
*****lum*****<br>
*****-+------*****<br>
***** | Type *****<br>
*****-+------*****<br>
***** | varch*****<br>
***** | varch*****<br>
***** | times*****<br>
***** | bigin*****<br>
***** | int(1*****<br>
*****-+------*****<br></mask>

<mask>*****e: w*****

*****_regist*****

*****lum*****

*****-+------*****

***** | Type *****

*****-+------*****

***** | varch*****

***** | times*****

***** | bigin*****

***** | int(1*****

*****-+------***** </mask>

这个估计就是用户的数据库了

44205多用户，这个app刚出来就有这么多用户。。就这么多，列出一些证明下危害。

<mask>*****mobile	reg*****<br>
*****92	1316811056*****<br>
*****h555	131727573*****<br>
*****3265358677	2*****<br>
*****520	186643132*****<br>
*****	13247006186*****<br>
*****63	1321144650*****<br>
*****	13169167826	2*****<br>
*****049611448	2*****<br>
*****5510860503	20*****<br>
*****	13058370451	*****<br>
*****89	1316073742*****<br>
*****	13119631460	*****<br>
*****13247330374	*****<br>
*****13119612789	2*****<br>
1.://**.**.**/5/17 15:57<br></mask>