中国高铁某智能终端管理后台弱口令(可执行任意命令)

编号163008
Urlhttp://www.wooyun.org/bug.php?action=view&id=163008
漏洞状态漏洞已经通知厂商但是厂商忽略漏洞
漏洞标题中国高铁某智能终端管理后台弱口令(可执行任意命令)
漏洞类型后台弱口令
厂商12306
白帽子路人甲
提交日期2015-12-20 22:14:00
公开日期2015-12-25 22:16:00
修复时间(not set)
确认时间0000-00-00 00:00:00
Confirm Spend-1
漏洞标签弱口令 管理后台对外 安全意识不足 安全意识不足
关注数0
收藏数0
白帽评级
白帽自评rank20
厂商评级
厂商评rank0
漏洞简介
None
漏洞细节

http://123.57.10.156
admin admin

a1.png


Snip20151220_3.png


直接可以执行命令:

Snip20151220_4.png


点入可见执行结果

Snip20151220_5.png

POC

如上

修复方案

修改弱口令

状态信息 2015-12-20: 细节已通知厂商并且等待厂商处理中
2015-12-25: 厂商已经主动忽略漏洞,细节向公众公开
厂商回复None漏洞Rank:15 (WooYun评价)
回应信息危害等级:无影响厂商忽略忽略时间:2015-12-25 22:16
Showing 1-5 of 5 items.
评论内容评论人点赞数评论时间

@浩天 浩哥 帮我看看洞 有劳啦 求上个首页么么哒

心云02015-12-21 09:58:00

@北丐 我1:6直接插你队,请私信我表哥们

king702015-12-21 09:57:00

@浩天 天哥,我穷,只能这样收点兑换东西。

北丐02015-12-21 09:51:00

@北丐 1WB=10RMB

浩天02015-12-21 09:43:00

回收WB,1WB=5RMB,有意出售的表哥请私信

北丐02015-12-21 09:36:00