锐捷RG-UAC统一上网行为管理审计系统账号密码泄露漏洞 CNVD-2021-14536

  • A+
所属分类:安全文章

        产品介绍:

RG-UAC6000系列统一上网行为管理与审计系统

锐捷统一上网行为管理与审计RG-UAC系列是星网锐捷网络有限公司自主研发的上网行为管理与审计产品,以路由、透明、旁路或混合模式部署在网络的关键节点上,对数据进行2-7层的全面检查和分析,深度识别、管控和审计数百种IM聊天软件、P2P下载软件、炒股软件、网络游戏应用、流媒体在线视频、移动应用、网络存储等将近二十大类的常见应用,并利用智能流控、智能阻断、智能路由、智能DNS策略等技术提供强大的带宽管理特性,同时RG-UAC系列具备的上网行为日志审计功能,能够全面、准确、细致的审计并记录多种上网行为日志,包括网页、搜索、外发文件、邮件、论坛、IM等等,并对日志数据进行统计分析,形成多种多样的数据报表,将上网行为情况清晰、详细的呈现。锐捷统一上网行为管理与审计RG-UAC系列产品线提供不同档次的多款型号,从低端、中端、高端适用于政府、教育、医疗、数据中心、大型网络边界、通用企业等全业务应用场景。

锐捷RG-UAC统一上网行为管理审计系统账号密码泄露漏洞 CNVD-2021-14536

漏洞简介

锐捷 RG-UAC 统一上网行为管理审计系统存在信息泄露,攻击者可以通过F12查看网页源代码可间接获取到管理用户账号以及密码,然后通过MD5解密获取到密码,管理员账号可默认为admin登录管理后台。


漏洞存在版本

锐捷 RG-UAC 统一上网行为管理审计系统

 

漏洞复现

我们可以通过fofa搜索以及SHODAN搜索关键字可快速获取到我们今天测试的漏洞网站后台地址:

搜索命令:title="RG-UAC登录页面" && body="admin"

SHODAN:https://www.shodan.io/search?query=title%3D%22RG-UAC登录页面%22+%26%26+body%3D%22admin%22

锐捷RG-UAC统一上网行为管理审计系统账号密码泄露漏洞 CNVD-2021-14536

FOFA:https://fofa.so/result?q=title%3D%22RG-UAC%E7%99%BB%E5%BD%95%E9%A1%B5%E9%9D%A2%22+%26%26+body%3D%22admin%22&qbase64=dGl0bGU9IlJHLVVBQ%2BeZu%2BW9lemhtemdoiIgJiYgYm9keT0iYWRtaW4i&file=&file=#will_page

锐捷RG-UAC统一上网行为管理审计系统账号密码泄露漏洞 CNVD-2021-14536


相对来说FOFA可以搜索到的比SHODAN要多,所以可以直接使用FOFA搜索我们今天的漏洞网站后台。


开始我的的漏洞测试

我们可以在FOFA或者SHAODNA上随便找一个漏洞后台,我就在FOFA上进行查找:

锐捷RG-UAC统一上网行为管理审计系统账号密码泄露漏洞 CNVD-2021-14536


点一下即跳转就可以来到登陆后台页面:

锐捷RG-UAC统一上网行为管理审计系统账号密码泄露漏洞 CNVD-2021-14536


然后我们现在要通过F12方式调出我们的控制台来获取到我们的密码MD5:

锐捷RG-UAC统一上网行为管理审计系统账号密码泄露漏洞 CNVD-2021-14536


然后ctrl加f来搜索admin回车可以看见admin和MD5方式加密的密码:

锐捷RG-UAC统一上网行为管理审计系统账号密码泄露漏洞 CNVD-2021-14536


然后我们现在需要把通过MD5方式加密的密码复制出来,然后到我们的MD5解密网站进行解密:

锐捷RG-UAC统一上网行为管理审计系统账号密码泄露漏洞 CNVD-2021-14536


MD5解密网站:https://pmd5.com/

锐捷RG-UAC统一上网行为管理审计系统账号密码泄露漏洞 CNVD-2021-14536


然后把我们刚才复制下来的通过MD5方式解密的密码拷贝到这个地方,然后点击解密:

锐捷RG-UAC统一上网行为管理审计系统账号密码泄露漏洞 CNVD-2021-14536


我们就可以看见通过MD5解密拿到的明文密码了:

锐捷RG-UAC统一上网行为管理审计系统账号密码泄露漏洞 CNVD-2021-14536


现在我们就可以去到刚才我的的漏洞网站后台的地址输入帐号以及刚拿到的明文密码,默认的账号为admin;密码就是刚才破解出来的明文密码

锐捷RG-UAC统一上网行为管理审计系统账号密码泄露漏洞 CNVD-2021-14536


点击登陆以后我们就可以成功的来到了后台里面:

锐捷RG-UAC统一上网行为管理审计系统账号密码泄露漏洞 CNVD-2021-14536


声明仅供学习参考,请勿进行非法利用以非法破坏


锐捷RG-UAC统一上网行为管理审计系统账号密码泄露漏洞 CNVD-2021-14536


本文始发于微信公众号(连接世界的暗影):锐捷RG-UAC统一上网行为管理审计系统账号密码泄露漏洞 CNVD-2021-14536

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: