首页 » 漏洞 » 树熊wifi营销系统未禁用互联网访问管理界面(可泄露用户访问的网络服务)

树熊wifi营销系统未禁用互联网访问管理界面(可泄露用户访问的网络服务)

 

晚上逛商场,发现该商场有开放的免费wifi,连上后习惯性看了下该商场的ip地址,发现是电信。回家翻看手机发现自己无意间给ip地址截了个图,干脆直接打开浏览器访问该地址。没想到。。

树熊wifi营销系统未禁用互联网访问管理界面(可泄露用户访问的网络服务)

code 区域
设备地址:http://122.227.209.174

居然打开了管理界面。。于是搜索引擎该厂商的使用说明,发现默认用户密码witown/witown

果然管理员比较懒,没改默认密码,于是进去了。

树熊wifi营销系统未禁用互联网访问管理界面(可泄露用户访问的网络服务)

摸索了一下有些什么设置,发现营销系统的界面(上网登录认证,若能更改有劫持微博QQ等登录界面获取用户密码的风险)并不能被修改,但是看到了某些有意思的东西。。

树熊wifi营销系统未禁用互联网访问管理界面(可泄露用户访问的网络服务)

QQ账号

树熊wifi营销系统未禁用互联网访问管理界面(可泄露用户访问的网络服务)

类似于上网程序策略的设置

树熊wifi营销系统未禁用互联网访问管理界面(可泄露用户访问的网络服务)

VPN设置(用户账号密码居然都是明文)[中间人攻击风险(有VPN隧道选项)]

漏洞证明:

树熊wifi营销系统未禁用互联网访问管理界面(可泄露用户访问的网络服务)

树熊wifi营销系统未禁用互联网访问管理界面(可泄露用户访问的网络服务)

树熊wifi营销系统未禁用互联网访问管理界面(可泄露用户访问的网络服务)

QQ账号

树熊wifi营销系统未禁用互联网访问管理界面(可泄露用户访问的网络服务)

类似于上网程序策略的设置

树熊wifi营销系统未禁用互联网访问管理界面(可泄露用户访问的网络服务)

VPN设置(用户账号密码居然都是明文)[中间人攻击风险(有VPN隧道选项)]

修复方案:

禁用外网访问管理界面,强制更改默认密码,VPN账户不应该明文显示

原文链接:树熊wifi营销系统未禁用互联网访问管理界面(可泄露用户访问的网络服务),转载请注明来源!

0