当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0102008

漏洞标题:某市(包括下辖县城)敏感机构执行日常任务车载监控可被利用

相关厂商:公安一部

漏洞作者: 路人甲

提交时间:2015-03-17 22:27

修复时间:2015-03-22 22:28

公开时间:2015-03-22 22:28

漏洞类型:后台弱口令

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(公安部一所)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-17: 细节已通知厂商并且等待厂商处理中
2015-03-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

终于覆盖公共安全系统了。 车载监控的安全系数与危害程度不用多说。只求不喝茶,不送快递。

详细说明:

开门见山:
朝阳市全市警用车载摄像头 包括凌源市、朝阳县、喀左县、等等等等如下图,共128台设备。

1.jpg


2.jpg


上图为客户端工具展示画面,客户端可下载,另可在网页打开相应视频页面,功能很多很全不一一例举

mask 区域 
*****177.*****

弱密码

mask 区域 
*****#12*****


mask 区域 
1.http://**.**.**/service/wapindex.php

此路径可爆力穷举密码

4.jpg


补一张近照

3.jpg


另外,各个分站 如朝阳县等等也有固定ip可登录,只显示各地自己的监控如图:

5.jpg


6.jpg


漏洞同上 均可复现(只举两个例子 还有更多)

漏洞证明:

修复方案:

这个是去年提的洞 因为没覆盖 当时忽略了。提交之前已经做过测试,洞还在。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-03-22 22:28

厂商回复:

最新状态:

暂无