xukaiming 发表于 2015-3-20 10:08:26

一文钱不用花,移动免费送伪基站上门

本帖最后由 xukaiming 于 2015-3-20 10:41 编辑

转载于乌云


首先背景是,一年多前开始家里一直没移动的信号,找移动投诉一年多都是敷衍,后来我突然发现可以在工信部的网站上投诉,结果投诉之后没过两天移动就给我打电话了,马上派人来家里免费装了个京信的Femto基站(基站型号HNB-10,A01L,产品类别GSM_N2,硬件版本HNB-10,A01LV2,软件HNB10L_A0AV01.00.1110_0)。(工信部这效率堪比12306)

Femto基站就是个最大功率30dBm的微型GSM基站,通过家里的宽带连接移动网络,提供GSM信号,同时还具有WLAN功能。为防止出乱子,普通用户只能通过192.168.197.1与admin/123456修改WLAN部分的设置,厂家人员通过隐藏地址与特殊用户名和密码才能修改GSM部分的设置(当时来安装的厂家人员不让我仔细看,只知道有个复杂的界面)。

不知道隐藏地址,我就从0试到255,结果地址是192.168.197.241,早知道我从上往下试了……

看源码,与登录有关的全在/js/USER.js里面,用户身份有三种定义,familyUser、marketUser和root,通过/C/userProcessFunction.asp?reqType=4&role=marketUser可以查到marketUser对应的用户名是debug(root那个有点问题我就没弄),USER.js验证密码正确后会SetCookie,但cookie中只包含用户名、用户身份与登录成功标志,登录后也只验证用户名与用户身份是否对应,而不会验证密码,所以在登录界面直接运行SetCookie就能绕过登录。

http://www.wooyun.org/upload/201410/070200377bb33e46f51c143e6d017876095de203.png

进去之后再无二次验证,可以修改所有GSM参数,如果乱改可能对GSM网络造成干扰

http://www.wooyun.org/upload/201410/07020737a5fafe29c423e63777a3dea944042bce.png

又翻了翻进去之后的一堆源码,找到一个/business/config/fileManager.asp,是个隐藏的自带的文件管理器(而且不登录也能用),可以上传与下载基站的所有程序与数据文件,包括主程序包(/tffs0/user2/OAM.zip)与密码数据(/ram0/OAM/software/web/web_page/web.xml)

http://www.wooyun.org/upload/201410/070228092b23c6407530013cdc994509e0d7ce7f.png
http://www.wooyun.org/upload/201410/07022823f20701f8c6ba5242aa10ac97741b697f.png

中间那两个密码是123456,上下两个在各个md5网都查不出来,不过可以替换掉之后上传文件然后再用修改密码功能修改并保存(因为是在ram里替换,所以必须用修改密码功能修改并保存,rom里保存的位置我没找到)。

我不想改默认密码,但是又不甘心都找到md5了还不知道密码,最后百度了一下竟然在豆丁找到一个内部的Femto设备安装手册,里面直接写了密码是2342@WAS_ap,看了下md5是对的,要是早知道这个我就不用这么绕来绕去了……不过好像就debug这个用户名好使,其他几个都不行

http://www.wooyun.org/upload/201410/07023013e33946abf1285b955512f2fadb5955e6.png

主程序包没有加密,里面有基站本身运行的一些程序和web管理界面所有的东西,里面的/OAM/software/web/web_page/xml/manTree.xml是选项菜单列表,里面欢迎短信和文件管理两行被注释掉了,修改之后上传

http://www.wooyun.org/upload/201410/07031024f9b650d835d869745b2d1ecf3f3af6cc.png

群发短信和文件管理在左侧的列表里出现了(虽然文件管理不出现也能用)

http://www.wooyun.org/upload/201410/070328025fc2c9cc76ca05e7475925bb0f3c7381.png

另外还有个问题,使用备份设置功能生成的param.xml,其中就有群发短信的选项,修改后再载入设置,可以不使用文件管理等隐藏功能就达到群发短信的目的(我最开始就是这么干的)

http://www.wooyun.org/upload/201410/07034020a106d5aa94fdb318c7c9417b83f8411f.png

然后就是效果,要是再把CRO改大点,把RXLEV-ACCESS-MIN改小点,都能比得上一些伪基站了,测试时刚一开家里一堆手机同时响起短信铃声,趁还没发到别人家去赶紧关掉。不过伪基站一个也得上万,这个可是只要去工信部网站投诉就能免费领取的……

http://www.wooyun.org/upload/201410/070331575134486c13a65ce390631afd78823ff6.png
漏洞证明:上面已经写得比较详细了,不再赘述修复方案:要改的很多,可以参照上面的说明一条条修改,多做一些验证工作和加密工作,不要把那些重要的东西放在容易被发现的地方。

不过用Femto基站的人还不是很多,所以影响应该还没那么严重,慢慢改就好

sddp001 发表于 2015-3-20 10:12:52

火钳刘明。。。。

模拟电路发烧友 发表于 2015-3-20 10:15:18

{:victory:}{:victory:}{:victory:}

Appcat 发表于 2015-3-20 10:15:44

楼主你太牛B了。{:lol:}

laujc 发表于 2015-3-20 10:18:07

太牛了。城市一般电梯内装得比较多吧。

gzhmcu 发表于 2015-3-20 10:18:17

牛X,真心想来一个,不知道能不能给,我们家信号不错,2G3G4G都OK,怎么弄,买个干扰器说没信号可行吗,呵呵

lovejp1981 发表于 2015-3-20 10:18:51

楼主你太NB了

hyz_avr 发表于 2015-3-20 10:21:34

写的就是楼主自己的经历吗,话说我这也是有时信号不太好{:titter:}

jackybany 发表于 2015-3-20 10:21:40

110群发,牛逼!!!

dlmaowf 发表于 2015-3-20 10:23:26

高人………………

albert.hu 发表于 2015-3-20 10:24:03

楼主还是建议你把一些关键的东西隐藏吧,技术上可以讲,避免被某些人用这样的方法祸害正常人的生活

michrome 发表于 2015-3-20 10:24:19

小区 楼上 高层信号差 能投诉不,打电话在窗户边上还好.

cqsrmxxzyx 发表于 2015-3-20 10:26:29

你知道得太多了

lengqing1309 发表于 2015-3-20 10:32:42

佩服,真心佩服。。。。

chunyu 发表于 2015-3-20 10:33:23

这个有点牛啊

yunhuisong 发表于 2015-3-20 10:36:43

这个太牛B了……

yongxiangu 发表于 2015-3-20 10:40:31

居然可以冒充110

REVBER 发表于 2015-3-20 10:42:00

我在打电话了。。。

wszyjsw2 发表于 2015-3-20 10:44:18

mark移动免费送伪基站

yrdzsd 发表于 2015-3-20 10:44:34

这样做会不会惹出什么事来?

ayumi8 发表于 2015-3-20 10:46:06

碉堡了    看起来好强大的样子虽然不是看的很懂

Doding 发表于 2015-3-20 10:46:09

还有这好东西,我妹妹家打电话投诉,就给了一个信号放大器,外面八木,屋里一小橡胶棒,我也投诉到工信部试试,移动的投诉结果总是正在解决中。

hymculolo 发表于 2015-3-20 10:47:56

流弊的一塌糊涂,话说大楼里3G信号不好,2G还是不错的。

lljme 发表于 2015-3-20 10:52:30

会软件的,真牛。

fly7817 发表于 2015-3-20 10:54:18

围观大牛……

abutter 发表于 2015-3-20 10:57:31

能买到吗?呵呵。

lu0718 发表于 2015-3-20 10:59:12

LZ是转文的?还是真的

hjqr 发表于 2015-3-20 10:59:36

好东西,一定要试试

RAMILE 发表于 2015-3-20 11:01:37

搜索淘宝。,诶有卖的

markdif 发表于 2015-3-20 11:03:28

不错不错。。。{:titter:}

memstone 发表于 2015-3-20 11:06:12

是乌云那来的Bug report啊。
这个确实牛。我这高层,信号也不好,但来装的好像是一个类似AP的东西,就是像草帽的那玩意,连的是他们自己的信号线。玩不了LZ位的这些{:titter:}

gallle 发表于 2015-3-20 11:07:37

楼主你太牛B了。

agency 发表于 2015-3-20 11:11:14

楼主太牛了

friendljy 发表于 2015-3-20 11:49:10

这个东西我边上也放着一个在用,他们打电话要到的,不过不会倒腾。

REMARK 发表于 2015-3-20 11:59:49

楼主真牛

ggchao 发表于 2015-3-20 12:03:06

真心牛逼啊,LZ干嘛的

jjj206 发表于 2015-3-20 12:07:14

火钳刘明。。。。。。。。。。

langton 发表于 2015-3-20 12:11:43

厉害啊,大牛!!

durgy 发表于 2015-3-20 12:16:04

这个牛b啊

yuhuwyh 发表于 2015-3-20 12:18:01

强悍哥{:smile:}

不舍的六年 发表于 2015-3-20 12:25:35

又是一位大神

erxun 发表于 2015-3-20 12:28:34

楼主知道的太多了~~~

PEcontrol 发表于 2015-3-20 12:33:00

你知道得太多了

Robin_King 发表于 2015-3-20 12:45:41

遇到大神了。。。。

ardon 发表于 2015-3-20 12:48:49

玩法强悍,有时间折腾!

eva 发表于 2015-3-20 12:52:42

真牛。。。。

newbie 发表于 2015-3-20 12:54:40

honeybear 发表于 2015-3-20 12:56:35

楼主太能折腾了,

ztrx 发表于 2015-3-20 12:56:49

这样搞收不收短信费

狂奔的蜗牛Y 发表于 2015-3-20 13:03:43

牛叉叉的LZ啊

xsh2005105326 发表于 2015-3-20 14:22:14

投诉了N次联通,说给我基站的,后来说又不可以

LearningASM 发表于 2015-3-20 14:30:11

LZ,你知道的太多了

王晨 发表于 2015-3-20 14:37:23

l楼主好牛

HYLG 发表于 2015-3-20 14:45:58

转载的,这东西什么样呀。

huangqi412 发表于 2015-3-20 14:46:09

送微基站这个好牛,,,一般只会给一个直放站吧。

ordinary 发表于 2015-3-20 14:53:19

这下,工信部投诉移动的电话多了

ordinary 发表于 2015-3-20 14:53:55

移动还没整明白怎么回事

jiang887786 发表于 2015-3-20 14:57:22

这个都可以有?火钳刘明!{:lol:}

vivi_cq1982 发表于 2015-3-20 14:58:45

楼主威武

hamxiyue 发表于 2015-3-20 14:58:52

这玩意怎么用?我交宽带费,移动挣话费

dadongleilei 发表于 2015-3-20 15:38:28

楼主绝对牛人!

8s209 发表于 2015-3-20 15:44:14

楼主牛人啊

eduhf_123 发表于 2015-3-20 15:49:25

火钳流明

zhdiamond 发表于 2015-3-20 15:59:29

厉害!!!!

junjiedz 发表于 2015-3-20 16:01:09

楼主知道的太多了!~

hefanghua 发表于 2015-3-20 16:06:19

火钳刘明x1。 我这边也是移动的信号不行,可能跟附近新建的楼房遮挡有关。

机器人天空 发表于 2015-3-20 16:12:05

还是工信部面子大{:titter:}

zhongya917 发表于 2015-3-20 16:22:08

好,膜拜了

richards 发表于 2015-3-20 16:25:09

这个过程 牛逼啊学习了。

fbestwish1 发表于 2015-3-20 16:34:45

尽管看不懂具体过程,但这个漏洞要是让发横财的人知道又得有人受骗

yan_hua 发表于 2015-3-20 16:40:24

应该再弄个BSC(基站控制器),然后组建一个自己的网络。电话做对讲机使用还是很不错的,至少是数字的嘛

lintel 发表于 2015-3-20 19:05:08

楼主,你知道太多了{:lol:}{:lol:}{:lol:},我没看,我不知道这些{:lol:}

tsb0574 发表于 2015-3-20 19:27:14

牛气!!!

frozenstar 发表于 2015-3-20 19:52:02

我靠,会不会查水表?

刀锋硬汉 发表于 2015-3-20 19:56:35

把门打开查水表

wxlcj 发表于 2015-3-20 19:59:46

楼主高人,可惜我的手机是电信的,要不也搞一个。

dabing 发表于 2015-3-20 20:49:18

我老家信号不好,到工信部投诉装了个信号放大器,

street 发表于 2015-3-20 21:00:33

第一次听说 ,学了了一招!

guanglv2008 发表于 2015-3-20 21:25:20

这个要顶啊

SJLZ 发表于 2015-3-20 21:52:50

你这个Femto是家用基站,不算伪基站。

nb8748 发表于 2015-3-20 22:14:31

真是大牛!

四川李工 发表于 2015-3-20 22:17:03

mark!!!!!!!!!!!

zhaotyue 发表于 2015-3-21 08:25:15

技术贴,顶楼主!                     

spark123 发表于 2015-3-21 08:37:52

能搞得到这种层次都是很牛B了

doubtfisher 发表于 2015-3-21 08:57:43

膜拜楼主

dengkong 发表于 2015-3-21 09:09:50

楼凤神器

野狼王 发表于 2015-3-21 09:27:53

在老家老师没信号,不过老家在偏远山沟,不知道人家给弄吗

graycker 发表于 2015-3-21 09:34:13

好强大{:victory:}{:lol:}

jorad21 发表于 2015-3-21 10:30:34

家里信号实在差了,收藏了。

lxk19781221 发表于 2015-3-21 14:35:13

移动免费送伪基站上门

likebo 发表于 2015-3-21 14:50:17

我勒个去,电工们只差破解遥控火星探测器了。

cddxhy 发表于 2015-3-21 15:06:36

别惹程序员

dzcn 发表于 2015-3-21 21:00:36

厉害,电工无所不能

fuxinaries 发表于 2015-3-21 21:34:09

这个牛的不得不跪拜了,标准的nb hacker啊,赞

z417078485 发表于 2015-3-21 22:06:18

这个当时是说信号放大器bug,已经修补了。信号不好投诉会给装一个放大器只能放大2G信号。装放大器前提家里要有网络一般一天需要10G左右流量。

lanqilove 发表于 2015-3-22 00:23:11

is this????http://detail.tmall.com/item.htm?spm=a230r.1.14.33.D650La&id=39510421332&abbucket=20

jie_am 发表于 2015-3-22 02:25:52

楼主厉害!

xukaiming 发表于 2015-3-22 06:13:29

lanqilove 发表于 2015-3-22 00:23
is this????http://detail.tmall.com/item.htm?spm=a230r.1.14.33.D650La&id=39510421332&abbucket=20 ...

就是这个

ymnymn 发表于 2015-3-22 12:11:35

佩服,真心佩服。。。。

wangyu_2011 发表于 2015-3-23 20:24:35

太nb了。我家信号也不好。
页: [1] 2
查看完整版本: 一文钱不用花,移动免费送伪基站上门