当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-082124

漏洞标题:一种淫荡的思路拿下了LED网的控制权限可以控制帝都某公寓的LED显示屏

相关厂商:无线LED网

漏洞作者: 红客十年

提交时间:2014-11-05 16:58

修复时间:2014-12-20 17:00

公开时间:2014-12-20 17:00

漏洞类型:服务弱口令

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-11-05: 细节已通知厂商并且等待厂商处理中
2014-11-10: 厂商已经确认,细节仅向厂商公开
2014-11-20: 细节向核心白帽子及相关领域专家公开
2014-11-30: 细节向普通白帽子公开
2014-12-10: 细节向实习白帽子公开
2014-12-20: 细节向公众公开

简要描述:

我手拿御剑和菜刀,喊着黑阔的口号。
抓鸡盗号黑频道,我谁也不怕了。
我一生干掉多少电脑,见到网警我就跑。
入侵破解玩不好,半夜练习搞电脑。
啊~~~~~~ 黑阔又在黑频道
啊~~~~~~ 黑阔搞起刷钻了
啊~~~~~~ 啥人都成黑阔了
啊~~~~~~ 啊~~~~~~
黑阔江湖瞎乱搞,看我混的多么好。
徒子徒孙也不少,自觉牛逼不好搞。
被社才知是傻叼,低调删号重新搞。
大笑一声你能怎样,被抓才知后悔了。
说唱部分
查了水表才知道这行真的不搞
各种技术我只学了点皮毛
删了数据挂了黑页我就跑
网络技术没有好坏别不知道自己是傻叼
学的不好不必着急继续慢慢搞
各种黑阔不要社我没那种必要
社出来了又能怎样有能你咬我
浪费时间浪费精力家人最重要
小沈阳唱的大笑江湖改编的~~~

详细说明:

打开了LED网主页http://www.wuxianled.com

image.jpg


习惯性的在域名后台加了/webled3跳转到了LED登陆后台

image.jpg


在后台登陆页面登陆按钮旁发现用户注册按钮接下来就打开了注册页面瞅瞅啥样的~

image.jpg


打开了注册页面突然灵鸡一动…出现了接下来的一幕

image.jpg


image.jpg


通过注册我知道了贵站存在admin账号和管理员密码是6位数的
拿起字典准备跑密码习惯性的输入了用户名admin密码123456真的登陆成功了
http://www.wuxianytk.com/webled3/index.action
用户名:admin
个人账号:admin
密码:123456

image.jpg


image.jpg


image.jpg


image.jpg


image.jpg


image.jpg


漏洞证明:

写了好长时间的漏洞证明和歌词求上首页~

修复方案:

修改登录页面,修改密码

版权声明:转载请注明来源 红客十年@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2014-11-10 10:12

厂商回复:

最新状态:

暂无