复现CNVD-2021-14536
产品介绍:
锐捷 RG-UAC 统一上网行为管理审计系统 锐捷统一上网行为管理与审计RG-UAC系列是星网锐捷网络有限公司自主研发的上网行为管理与审计产品,以路由、透明、旁路或混合模式部署在网络的关键节点上,对数据进行2-7层的全面检查和分析,深度识别、管控和审计数百种IM聊天软件、P2P下载软件、炒股软件、网络游戏应用、流媒体在线视频、移动应用、网络存储等将近二十大类的常见应用,并利用智能流控、智能阻断、智能路由、智能DNS策略等技术提供强大的带宽管理特性,同时RG-UAC系列具备的上网行为日志审计功能,能够全面、准确、细致的审计并记录多种上网行为日志,包括网页、搜索、外发文件、邮件、论坛、IM等等,并对日志数据进行统计分析,形成多种多样的数据报表,将上网行为情况清晰、详细的呈现。锐捷统一上网行为管理与审计RG-UAC系列产品线提供不同档次的多款型号,从低端、中端、高端适用于政府、教育、医疗、数据中心、大型网络边界、通用企业等全业务应用场景。
Ax 介绍 Introduction
2021年3月8日,锐捷RG-UAC统一上网行为管理审计系统存在信息泄露漏洞,攻击者可以通过F12审查网页源代码获取到用户账号和密码,导致管理员用户认证信息泄露。
影响范围:
锐捷RG-UAC统一上网行为管理审计系统
Bx 复现 Recurrence
收集一些该系统的页面,使用fofa、shodan等搜索关键字
title="RG-UAC登入页面" && body=“admin”
进入后台登入页面,审查代码
MD5解密
登入
Cx 验证 Verify
使用POC工具批量验证
Dx 声明 Declaration
- 请遵守,爱护《中华人民共和国网络安全法》
- 仅供学习参考!
- 请注明出处!
