漏洞概要
缺陷编号： WooYun-2014-70509
漏洞标题： 中国电信官网(488K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0p5^5z5g2)9J5k6h3y4F1i4K6t1&6i4@1f1&6i4K6V1J5i4K6V1K6i4@1f1&6i4@1t1I4i4@1u0o6i4@1f1$3i4K6S2o6i4K6R3J5i4@1f1&6i4@1p5&6i4@1q4o6i4@1f1@1i4@1u0n7i4@1p5#2i4@1f1#2i4K6S2r3i4K6S2m8i4@1f1%4i4K6V1@1i4@1t1#2i4@1f1@1i4@1u0r3i4@1p5I4i4@1f1^5i4K6V1H3i4@1p5#2i4@1f1@1i4@1t1^5i4K6W2m8i4@1f1#2i4K6S2q4i4K6R3#2i4@1f1#2i4@1q4q4i4K6R3&6i4@1f1#2i4K6S2p5i4K6V1K6i4@1f1#2i4@1q4q4i4@1p5J5i4@1f1$3i4K6R3^5i4@1t1%4i4@1f1%4i4@1q4n7i4@1q4r3i4@1f1#2i4@1q4q4i4K6W2m8i4@1f1#2i4K6V1H3i4K6V1I4i4K6g2o6i4@1f1&6i4K6W2n7i4K6R3$3i4@1f1@1i4@1u0p5i4K6V1K6i4@1f1$3i4K6S2q4i4@1p5^5i4@1f1&6i4K6R3H3i4K6R3I4i4@1f1$3i4K6W2n7i4@1t1@1i4@1f1$3i4K6V1$3i4@1t1H3i4K6t1^5i4@1f1%4i4@1u0n7i4K6V1I4i4@1f1&6i4@1p5&6i4@1q4o6i4K6t1&6i4@1f1%4i4@1q4p5i4K6R3&6i4@1f1&6i4@1q4n7i4K6V1^5i4@1f1#2i4K6S2p5i4@1t1I4i4@1f1$3i4@1u0o6i4K6S2r3i4@1f1$3i4@1t1@1i4K6W2q4i4@1f1#2i4K6V1H3i4K6R3^5i4@1f1&6i4K6W2n7i4K6R3$3i4K6t1$3L8X3u0K6M7q4)9K6b7W2)9J5y4X3&6T1M7%4m8Q4x3@1t1`.
相关厂商： 中国电信
漏洞作者： s0mun5
提交时间： 2014-07-31 18:23
公开时间： 2014-09-14 18:24
漏洞类型： 系统/服务运维配置不当
危害等级： 高自评Rank： 20
漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理
漏洞来源： a10K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4N6G2L8%4W2#2L8W2)9J5k6h3!0J5k6#2c8S2k6%4x3`.
--------------------------------------------------------------------------------
漏洞详情披露状态：
2014-07-31： 细节已通知厂商并且等待厂商处理中
2014-08-05： 厂商已经确认，细节仅向厂商公开
2014-08-15： 细节向核心白帽子及相关领域专家公开
2014-08-25： 细节向普通白帽子公开
2014-09-04： 细节向实习白帽子公开
2014-09-14： 细节向公众公开

简要描述：或许哪一天 通过看域名判断是不是钓鱼网站的方法不再有效
或许哪一天 官网推送的更新不再是官方的更新
或许哪一天 ......
详细说明：误打误撞进了一个电信的安卓营业厅发布以及推送后台

796K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5I4z5q4)9J5k6g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5k6g2)9J5b7g2)9J5b7g2)9J5k6g2)9J5b7g2)9K6b7e0R3H3z5o6m8Q4x3V1j5`.

弱口令 test/test

静态配置页面 发布 部署后 直接可以getshell两个台内网服务器

1.jpg

（jsp打包zip 上传zip 自动解压缩）

233K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5I4z5q4)9J5k6g2)9J5b7g2)9J5b7g2)9J5b7g2)9J5k6g2)9J5b7g2)9J5b7g2)9J5k6g2)9J5b7g2)9K6b7e0R3H3z5o6m8Q4x3V1j5`. 以及 bcaK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8W2)9J5b7g2)9J5b7g2)9J5b7g2)9J5k6h3y4D9K9h3g2F1N6q4)9J5k6e0p5^5z5g2)9J5k6h3y4F1i4K6y4m8z5o6l9H3y4R3`.`.

发布的时候可以选择是否强制推送或者选择定向推送更新

2.jpg

3.jpg

漏洞证明：下面证明该更新确定就是客户端收到的链接

1.jpg

Screenshot_2014-07-31-17-56-06.png

后台中的文字跟推送的文字相同

2.jpg

4.jpg

burp抓到的更新地址与shell地址相同（**ervice与**update 在内网是同一台服务器 并且做了负载均衡）

code 区域#\u6570\u636e\u5e93\u8fde\u63a5\u914d\u7f6e(\u751f\u4ea7\u73af\u5883)
jdbc.driver=oracle.jdbc.driver.OracleDriver
jdbc.url=jdbc:oracle:thin:@172.**.**.*:1521/clidb
jdbc.username=UNI_。。。
jdbc.password=UNI_。。。

code 区域#luckyDraw job product data source(\u751f\u4ea7\u73af\u5883)
jdbc.driverluckydraw=oracle.jdbc.driver.OracleDriver
jdbc.urlluckydraw=jdbc:oracle:thin:@172.**.**.**:1521/clidb
jdbc.usernameluckydraw=e_xxxxx
jdbc.passwordluckydraw=e_xxxxx

配置文件中的数据库连接串

由于库太大读取对业务有影响 没去确定 但是根据客户端登陆的数据包可以推断

code 区域用户验证也是cservice服务器上

code 区域POST /map/clientXML?encrypted=true HTTP/1.1
Content-Length: 976
Content-Type: text/xml
Host: **.client.189.cn:8004
Connection: Keep-Alive
User-Agent: HUAWEI HUAWEI G700-U00/4.2.0

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

(负载均衡服务器大部分目录结构不一样 实在是没时间去翻map/clientXML 映射在哪了)

配置文件中有这么一段

code 区域pictures.filePath=aaeK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3c8A6P5g2)9J5k6e0p5^5z5g2)9J5k6h3y4F1i4K6u0r3j5$3I4A6k6h3&6@1i4K6u0r3L8h3q4A6L8Y4c8G2M7r3q4V1i4K6u0r3N6r3g2K6N6q4)9J5c8R3`.`.
ftp_url=172.16.***.*
ftp_port=21
ftp_userName=xxxxx
ftp_passWord=xxxxxx
ftp_list=/maintopad/test/

用perl连接ftp上传html(已经验证不解析任何脚本)

code 区域use Net::FTP;
$ftp = Net::FTP->new("172.16.***.*", Timeout => 30)
        or die "Could not connect.\n";
$username = "xxxxxx";
$password = "xxxxxx";
$ftp->login($username, $password)
        or die "Could not log in.\n";
$remotefile = "test.html";
$localfile = "test.html";
$ftp->put($remotefile, $localfile)
        or die "Can not get file.\n";

117K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0p5^5z5g2)9J5k6h3y4F1i4K6u0r3j5$3I4A6k6h3&6@1i4K6u0r3N6r3g2K6N6q4)9J5k6h3S2@1L8h3H3`.

这里可以做的多了 谁会觉得官网的二级目录是钓鱼呢 传exe apk 当然也可以

如果结合上面那个后台的推送 把钓鱼页面推送到手机上 是不是可信度更高了: )
  
修复方案：
版权声明：转载请注明来源 s0mun5@乌云
--------------------------------------------------------------------------------
漏洞回应厂商回应：危害等级：高
漏洞Rank：12
确认时间：2014-08-05 09:33
厂商回复：CNVD确认并复现所述情况，已经转由CNCERT直接通报给中国电信集团公司处置。
最新状态：暂无

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课