由一个弱口令引发的中国电信集团多个重要后台侧漏存在任意下载还能给全国管理员发短信等威胁(三) | wooyun-2014-077049

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2014-077049

漏洞标题：

由一个弱口令引发的中国电信集团多个重要后台侧漏存在任意下载还能给全国管理员发短信等威胁(三)

漏洞详情

披露状态：

2014-09-23：细节已通知厂商并且等待厂商处理中
2014-09-26：厂商已经确认，细节仅向厂商公开
2014-10-06：细节向核心白帽子及相关领域专家公开
2014-10-16：细节向普通白帽子公开
2014-10-26：细节向实习白帽子公开
2014-11-07：细节向公众公开

简要描述：

任意文件下载（root权限）
敏感资料泄漏，数据报表，产品申报...
任意文件上传
大量人员信息泄漏（6000人）
还能给给全国管理员发短信

详细说明：

#中国电信集团公司产品管理平台
#登录点：
http://42.99.16.16:8080/productmanager/
#账户密码：test 1qaz2wsx
本来这个本身的账户好像已经没有什么权限了，什么也看不了。突然在左下角又发现了两个。。
#中国电信集团业务工单系统，中国电信集团产品开发管理平台
两个平台不能同时登录
#第一个，中国电信集团业务工单系统，在默认平台里面的点击右下角业务单管理专区（GET提交密码..）
跳转到http://218.80.215.200:8080/pms/MainAction.do
点击http://218.80.215.200:8080/pms/index.jsp?type=workSheet
#其中基础信息维护部分
左边可以发现，查看管理员通讯录，项目组通讯录。
其中用户查询（还需要再点击下右边的查询）可以看全部人员信息，姓名，账户，手机，邮箱，职位，权限。有6000多个。。
还有个群发短信功能，点击组织结构就出来了。。。。
#业务单，协调单专区点击查询可以查看所有...最近的是今天的...（还得点下查询）
#任意上传，协调单新建好像可以任意上传。但是返回的是一个参数下载地址。好了，因为这个。发现了任意下载.....
#任意下载漏洞
http://218.80.215.200:8080/pms/CommonFileDownloadAction.do?fileName=../../../../../etc/passwd
http://218.80.215.200:8080/pms/CommonFileDownloadAction.do?fileName=../../../../../etc/shadow
http://218.80.215.200:8080/pms/CommonFileDownloadAction.do?fileName=../../../../../root/.bash_history 这个能被下载什么都暴漏了。
不弄了，反正根据这个权限的任意下载能发现太多东西了
#另一个平台(返回第一个平台点击进去)
http://218.80.215.215/MainDefault.aspx
能够查看最近的产品xxx等功能。也能上传。没有深入