当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-074177

漏洞标题:爱康国宾某服务器弱口令及远程ssh登陆绕过漏洞

相关厂商:爱康国宾

漏洞作者: niliu

提交时间:2014-08-28 13:00

修复时间:2014-08-28 14:28

公开时间:2014-08-28 14:28

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-08-28: 细节已通知厂商并且等待厂商处理中
2014-08-28: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

小明的爸爸做了两碗面,让小明挑一碗,小明二话不说,拿了有鸡蛋的那碗,但他没想到的是,爸爸的那碗面下面藏着两个鸡蛋第二天,小明的爸爸又做了两碗面,小明选了没鸡蛋的那碗,结果他吃到底也没看见鸡蛋,而爸爸的那碗上面一个鸡蛋,下面也一个鸡蛋第三天,爸爸又做了两碗面,小明这回聪明了,让爸爸先选,老爸选了没鸡蛋的那碗,小明连忙抢了过来,结果又没吃到鸡蛋,而爸爸又吃了两个鸡蛋饭后,爸爸意味深长地对他说:小明,你明白了吗?小明恍然大悟,原来他不是亲生的!!! 于是第二天就找隔壁老王认爸爸去了,而小明的爸爸终于因为鸡蛋吃得太多,胆固醇过高进了医院..

详细说明:

一个超微服务器,弱口令可以远程登陆服务器
http://59.151.27.4/

0.jpg


用户名密码都是大写的ADMIN

22.jpg


另外远程ssh可以使用空用户名,密码小写的admin绕过来登陆

1.jpg


然后ADMIN/ADMIN也可以

2.jpg

漏洞证明:

如上

修复方案:

修改密码,升级系统.

版权声明:转载请注明来源 niliu@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-08-28 14:28

厂商回复:

此系统不是爱康的,谢谢!

最新状态:

暂无


漏洞评价:

评论

  1. 2014-08-28 13:08 | 浮萍 ( 普通白帽子 | Rank:555 漏洞数:118 | 默默潜水)

    之后就找到了爱康国宾检查

  2. 2014-08-28 13:16 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    小厂商

  3. 2014-08-28 14:37 | D&G ( 普通白帽子 | Rank:523 漏洞数:103 | going)

    这是什么技巧,空口令,小写admin?

  4. 2014-08-28 15:04 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    擦...日偏了

  5. 2014-09-29 11:37 | hkAssassin ( 普通白帽子 | Rank:358 漏洞数:66 | 我是一只毛毛虫。)

    请对准洞洞在进……