某LED控制系统部分版本命令执行+控制大部分LED信息发布屏

2015年6月30日17:16:04评论344 views字数 236阅读0分47秒阅读模式

摘要

2014-10-06：细节已通知厂商并且等待厂商处理中
2014-10-11：厂商已经确认，细节仅向厂商公开
2014-10-21：细节向核心白帽子及相关领域专家公开
2014-10-31：细节向普通白帽子公开
2014-11-10：细节向实习白帽子公开
2014-11-18：细节向公众公开

漏洞概要关注数(28) 关注此漏洞

缺陷编号： WooYun-2014-78338

漏洞标题：某LED控制系统部分版本命令执行+控制大部分LED信息发布屏

漏洞作者： scanf

提交时间： 2014-10-06 23:04

公开时间： 2014-11-18 23:06

漏洞类型：命令执行

危害等级：高

自评Rank： 20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

3人收藏

漏洞详情

披露状态：

简要描述：

广告位出售.能不能做大新闻呢？

详细说明：

http://**.**.**.**/login.action

**.**.**.**:8080/login.action //这个貌似是移动的

漏洞证明：

以http://**.**.**.**/login.action 为例

这个不算多

管理后台

http://**.**.**.**/superadmin/

tiandi / tiandi

才这么多点

http://**.**.**.**/super/login_super.action

listenchen / hcyy2012listen

这个就吓人了

gfyk /admin /123456 密码已经重置

要不要推送试试？

我想发布了咱大乌云一定会火

还是不要了弄大新闻了，不作死就不会死,

我们还是默默的修复吧.

希望这个能加个闪电标志.

修复方案：

升级框架

修改弱口令什么的

那个影响还是很大的.

检查数据库查询记录,除了我应该早就有人光顾过了.

版权声明：转载请注明来源 scanf@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：13

确认时间：2014-10-11 15:11

厂商回复：

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-10-04 23:13 | Z-0ne ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究，工业数据采集...)

0

Ku ooo~

1# 回复此人
2014-10-04 23:15 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

0

你妹..你不过节啊...

2# 回复此人
2014-10-04 23:19 | scanf ( 核心白帽子 | Rank:1694 漏洞数:237 | 。)

0

@袋鼠妈妈我放假无聊想弄个闪电，看来影响什么的还不够大。

3# 回复此人
2014-10-04 23:21 | 雷锋 ( 路人 | Rank:12 漏洞数:2 | 看人生万般无奈，看世间千姿百态...)

0

放喜洋洋了？？？？？？？？？？？？？？？

4# 回复此人
2014-10-04 23:22 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

0

@雷锋放《雷锋》啦

5# 回复此人
2014-10-04 23:23 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

0

@scanf 你不搞通信，搞工控老?

6# 回复此人
2014-10-04 23:24 | 雷锋 ( 路人 | Rank:12 漏洞数:2 | 看人生万般无奈，看世间千姿百态...)

0

@袋鼠妈妈 http://v.baidu.com/kan/movie/?id=76389&url=http%3A%2F%2Fwww.m1905.com%2Fvod%2Fplay%2F679642.shtml&ifrom=detail&vfm=bdvtx#frp=v.baidu.com%2Fmovie_intro%2F

7# 回复此人
2014-10-04 23:24 | scanf ( 核心白帽子 | Rank:1694 漏洞数:237 | 。)

0

因为看着你有个闪电感觉没闪电不好看

8# 回复此人
2014-10-04 23:24 | scanf ( 核心白帽子 | Rank:1694 漏洞数:237 | 。)

0

@袋鼠妈妈

9# 回复此人
2014-10-04 23:26 | scanf ( 核心白帽子 | Rank:1694 漏洞数:237 | 。)

0

@xsser 我能不能申请个闪电，我认为影响还是有点大

10# 回复此人
2014-10-05 00:10 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

0

@雷锋我擦真的是！

11# 回复此人
2014-10-05 00:10 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

0

@scanf 貌似置顶了也

12# 回复此人
2014-10-05 00:14 | kttzd ( 普通白帽子 | Rank:191 漏洞数:15 | 淡定)

0

为什么不给闪电那...

13# 回复此人
2014-10-05 00:24 | 贫道来自河北 ( 普通白帽子 | Rank:1469 漏洞数:439 | 一个立志要把乌云集市变成零食店的男人)

0

@scanf 又是框架的命令执行吧

14# 回复此人
2014-10-05 08:19 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 )

0

你关注的白帽子 scanf 发表了漏洞某LED控制系统部分版本命令执行+控制大部分LED信息发布屏 2014-10-04

15# 回复此人
2014-10-05 09:16 | 一只猿 ( 普通白帽子 | Rank:560 漏洞数:98 | 硬件与无线通信研究方向)

0

mark

16# 回复此人
2014-10-05 15:47 | Cacker ( 路人 | Rank:21 漏洞数:9 | 小菜鸟。大神见笑了。)

0

这个关注看看。

17# 回复此人
2014-10-18 01:54 | 魇 ( 普通白帽子 | Rank:1218 漏洞数:107 | 传闻中魇是一个惊世奇男子，但是除了他华...)

0

大连警方已经报警。。

18# 回复此人
2014-10-25 23:18 | abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 冬眠者)

0

原来是这个呀和袋鼠的是一个问题？目测雷同的概率不高是两个漏洞

19# 回复此人
2014-10-25 23:26 | abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 冬眠者)

0

@scanf 除非那天我这里广告牌突然出现巫云SCANF到此一游您的系统里有漏洞我会给你牌照然后报道的这样就有闪电了然后我会给你送好吃的的（淘气）

20# 回复此人
2015-03-19 17:38 | scanf ( 核心白帽子 | Rank:1694 漏洞数:237 | 。)

0

@abaddon 看来哥们是网警呀

21# 回复此人

漏洞概要 关注数(28) 关注此漏洞

缺陷编号： WooYun-2014-78338

漏洞标题： 某LED控制系统部分版本命令执行+控制大部分LED信息发布屏

相关厂商： 某LED系统

漏洞作者： scanf

提交时间： 2014-10-06 23:04

公开时间： 2014-11-18 23:06

漏洞类型： 命令执行

危害等级： 高

自评Rank： 20

漏洞状态： 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 无

3人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 scanf@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(28) 关注此漏洞

漏洞标题：某LED控制系统部分版本命令执行+控制大部分LED信息发布屏

相关厂商：某LED系统

漏洞类型：命令执行

危害等级：高

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签：无

漏洞评价(共0人评价):

登陆后才能进行评分