当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-09098

漏洞标题:srun3000不需要密码踢任意人下线漏洞

相关厂商:深澜软件/srun3000

漏洞作者: CCOz

提交时间:2012-07-01 14:51

修复时间:2012-08-15 14:52

公开时间:2012-08-15 14:52

漏洞类型:命令执行

危害等级:中

自评Rank:8

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-07-01: 细节已通知厂商并且等待厂商处理中
2012-07-06: 厂商已经确认,细节仅向厂商公开
2012-07-16: 细节向核心白帽子及相关领域专家公开
2012-07-26: 细节向普通白帽子公开
2012-08-05: 细节向实习白帽子公开
2012-08-15: 细节向公众公开

简要描述:

srun3000是很多高校使用的上网客户端,但是设计时未考虑权限问题导致可以不需要密码踢任意用户下线,随便写个for循环就能让自己独享网络了= =

详细说明:

登陆srun3000,客户端界面点击设置-自服务,进入自服务页面:


点击我的状态,进入我的状态页面:


这个下线按钮对应的JS代码如下:

<script language="javascript">
function drop_user4(user)
{
	if(!confirm("用户将被下线,是否继续?"))
		return;
	document.form1.uname1.value=user;
	document.form1.action.value="drop_user4";
	document.form1.submit();
}
function drop_user6(user)
{
	if(!confirm("用户将被下线,是否继续?"))
		return;
	document.form1.uname1.value=user;
	document.form1.action.value="drop_user6";
	document.form1.submit();
}
</script>


很简单的代码,无须赘述,需要注意的是uname1.value值为外部提交,但是没有经过权限检查,此时,如果提交其他用户的ID值,则该用户会被踢下线,漏洞形成。

漏洞证明:

用firebug或chrome开发者工具,在下线按钮那里编辑user ID:


为任意值,点击下线,弹出确认消息框,确认后跳转页面,如果该ID下有人登陆,显示1 user dropped ,如果没人登陆,显示 0 user dropped.


P.S.我用隔壁同学做实验,成功将他踢出。希望广大皮囊不能无视,wuhawuha!

修复方案:

check 下权限 , 谁都会,就是忘了做。

版权声明:转载请注明来源 CCOz@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2012-07-06 07:26

厂商回复:

CNVD未直接复现,根据图片及所述过程先行确认,最终确认待厂商反馈。由CNVD直接协调生产厂商处置。
按部分影响可用性进行评分,rank=5.46(需要弱用户认证,属相邻网络攻击)*1.0*1.2=6.552

最新状态:

暂无

漏洞评价:

评论

  1. 2012-07-01 15:03 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    我们用的是锐捷。。

  2. 2012-07-01 15:04 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @gainover 据我目测 下一个就是 锐捷任意踢人漏洞

  3. 2012-07-01 15:08 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    @xsser 这个就难说了,据说以前学校里,就有人这么干,把别人搞下线。。。后来学校还查。。

  4. 2012-07-01 18:28 | CCOz ( 路人 | Rank:22 漏洞数:7 | 本人还是处,有意的富婆请联系我,五万以下...)

    @gainover 锐捷有些严重的可以免费上网的漏洞估计不会被提交=。=据说锐捷漏洞很多很多啊

  5. 2012-07-02 00:56 | tpu01yzx ( 实习白帽子 | Rank:58 漏洞数:8 | test)

    @CCOz 求内幕,求细节。

  6. 2012-07-02 00:57 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)

    @gainover 广东这边的很多高校都是锐捷~

  7. 2012-07-02 10:12 | 坏虾 ( 路人 | Rank:28 漏洞数:8 | From Internet,For Internet……BY:坏虾)

    擦 这个贴 除了实习就是核心

  8. 2012-07-02 14:42 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    @gainover 二哥~~

  9. 2012-07-02 16:12 | CCOz ( 路人 | Rank:22 漏洞数:7 | 本人还是处,有意的富婆请联系我,五万以下...)

    @tpu01yzx 木有内幕,也木有细节。。。

  10. 2012-07-04 10:21 | itleaf ( 普通白帽子 | Rank:140 漏洞数:17 )

    @CCOz ipv4/v6在线表? 如果你知道可以绕过验证,那么你肯定已经进后台了。。。

  11. 2012-07-04 18:00 | CCOz ( 路人 | Rank:22 漏洞数:7 | 本人还是处,有意的富婆请联系我,五万以下...)

    @itleaf 还真没进后台,不是绕过验证,而是压根没有验证。。。

  12. 2012-07-04 22:18 | itleaf ( 普通白帽子 | Rank:140 漏洞数:17 )

    @CCOz 那你怎么知道那个地址?它后台确实有个显示在线用户的功能,不过那个页面是需要认证的。

  13. 2012-07-04 22:23 | itleaf ( 普通白帽子 | Rank:140 漏洞数:17 )

    @CCOz 已交由第三方厂商(cncert国家互联网应急中心)处理 = =、你是把清华给拿下了还是把政府、国家研究机构等给搞了。给个链接,你可以看看 WooYun: 一场由系统默认设置和弱口令引发的血案= =、

  14. 2012-07-05 04:09 | CCOz ( 路人 | Rank:22 漏洞数:7 | 本人还是处,有意的富婆请联系我,五万以下...)

    @itleaf 我们学校默认密码被修改,而且删除了phpmyadmin,3306端口做了限制。。我没搞进去,在用户自服务界面就有能踢人下线的地方,不过不能对应上指定人,因为那个ID和用户名没什么联系。。这漏洞适合大范围踢人,不能定点寻仇的。。

  15. 2012-07-05 13:15 | itleaf ( 普通白帽子 | Rank:140 漏洞数:17 )

    @CCOz 你什么学校,计费在外网不,我可以帮忙看看 /坏笑

  16. 2012-07-06 22:19 | CCOz ( 路人 | Rank:22 漏洞数:7 | 本人还是处,有意的富婆请联系我,五万以下...)

    @itleaf thx,不过这种涉及金钱的东西,我还是少碰为妙。。

  17. 2012-07-08 14:40 | 北洋贱队 ( 普通白帽子 | Rank:252 漏洞数:25 )

    @CCOz 你还是处啊?

  18. 2012-07-08 18:10 | CCOz ( 路人 | Rank:22 漏洞数:7 | 本人还是处,有意的富婆请联系我,五万以下...)

    @北洋贱队 必须的啊,虽然我不反对婚前性行为,但是看起来婚前性行为对我挺反感的,要初夜吗亲?