文章总结: 文档披露某高校视频网关存在未授权访问、接口未鉴权、WebSSH弱口令及明文存储四大高危漏洞,攻击者可串联利用形成完整攻击链获取监控数据。报告提供P0立即处置到P2持续治理的三级修复建议,涉及权限校验、密码强化及访问控制等措施。该漏洞已提交CNVD平台。 综合评分: 87 文章分类: 渗透测试,内网渗透,漏洞分析,安全建设,应急响应
EDU攻防实战:从山东某高校的线下打点到CNVD证书复盘④
原创
Thanatos Thanatos
星宇Sec
2026年4月9日 16:41 山东
本次受邀加入专项安全测试团队,前往济南某高校开展线下内网渗透授权演练,全程在学校安全部门监督下合规推进,所有操作均获得校方正式授权,无任何违规越界行为。
为保护校方信息安全及相关敏感数据,本文所涉及的校园内网拓扑、设备信息、漏洞详情等全部进行脱敏处理,渗透过程中临时下载的各类数据,已在测试结束后第一时间全部彻底删除,不留存任何相关缓存及备份。
考虑到内容的完整性和可读性,本次报告为同一系统多个漏洞报告的合成版本。以下直接附上本次线下内网渗透的脱敏报告(部分内容由AI整理)
XXXX XXX-XXXXXXX网关综合漏洞报告
1. 报告概述
本报告基于同一平台的多份补充材料整合形成,覆盖XXXX XXX-XXXXXXX网关在不同场景下暴露的多类高危安全问题,包括:
- 路由绕过导致未授权访问后台页面
- 接口缺失鉴权导致设备敏感信息泄露
- WebSSH 弱口令导致主机被接管
- 应用配置文件明文存储后台账号口令
以上问题可被串联利用,形成“未授权访问 -> 资产枚举 -> 主机接管 -> 业务系统深度控制”的攻击路径,最终导致监控视频、设备配置、服务器配置及流媒体凭据等敏感数据泄露。
2. 漏洞基本信息
- 平台名称:XXXX XXX-XXXXXXX 智慧化视频网关
- 厂商信息:XXXX股份有限公司 / 武XXXXXXX有限公司
- 漏洞等级:高危
- 影响范围:已知发行全版本
3. 漏洞分类与风险评级
| 漏洞方向 | 漏洞类型 | 风险等级 | 核心影响 | | — | — | — | — | | 后台路由绕过 | 未授权访问 | 高危 | 无需登录直接访问后台页面 | | 接口未鉴权 | 敏感信息泄露 | 高危 | 直接获取设备信息与监控资源 | | WebSSH 弱口令 | 认证缺陷 | 高危 | 可登录系统高权限账号 | | 配置明文口令 | 敏感信息明文存储 | 高危 | 泄露后台管理账号密码 |
4. 漏洞详情
4.1 未授权访问(路由绕过)
系统存在前端路由层面的访问控制缺陷,攻击者在登录地址后拼接特定路径(如 /#/status)可绕过登录流程直接进入后台页面。
PoC:
GET /#/status
示例:
- 原始地址:
http://XXX.XXX.XX.36:38080/ - 绕过地址:
http://XXX.XXX.XX.36:38080/#/status
4.2 接口未鉴权(设备信息泄露)
后端接口存在未授权访问问题,攻击者无需登录即可直接调用设备信息接口,获取设备名称、状态、分组、地址等敏感数据。
PoC:
GET /agapi/device/infos?page=1&pageSize=200
示例:
http://XXX.XXX.XX.36:38080/agapi/device/infos?page=1&pageSize=200
当回显不完整时可继续扩大 pageSize 获取更多数据。
4.3 WebSSH 弱口令(主机接管)
部分目标主机 7681 端口暴露 WebSSH,存在弱口令 root/root,可直接登录系统。
登录后可进一步侦察业务进程并定位应用目录,例如:
netstat -tunlp | grep 8080
ls -l /proc/<PID>/cwd
cd /XXXXXXX/XX/XXXXX/Config
cat User.cfg
4.4 配置文件明文口令泄露
在 User.cfg 中发现后台账号口令明文存储,已验证样本包括:
[{"name":"admin","password":"XXXXXXXXXXX","role":"streamMedia"}]
以及在校内多台资产上使用的:
admin / XXXXXXX
攻击者利用泄露凭据可登录业务系统后台,查看实时监控与流媒体相关敏感配置(含 RTMP 凭据)。
5. 复现与证据
5.1 WebSSH 弱口令登录验证
webssh
5.2 8080进程定位
attack1
5.3 应用目录定位
attack2
5.4 明文口令配置文件验证
attack3
6. 影响资产汇总
6.1 校内资产(样本)
10.XXX.XX.36:7681/10.XXX.XX.36:8080/#/loginXXXX10.XXX.XX.44:7681/10.XXX.XX.44:8080/#/loginXXXX10.XXX.XX.87:7681/10.XXX.XX.87:8080/#/loginXXXX10.XXX.XX.88:7681/10.XXX.XX.88:8080/#/loginXXXX10.XXX.XX.89:8080/#/loginXXXX10.XXX.XX.140:8080/#/loginXXXX10.XXX.XX.141:8080/#/loginXXXX
6.2 互联网暴露实例(样本)
http://XXX.XXX.XX.36:38080/#/statushttp://XXX.XXX.XX.36:12280/#/statushttp://XXX.XXX.XX.36:28080/#/statushttp://XXX.XXX.XX.36:1027/#/statushttp://XXX.XXX.XX.36:1029/#/statushttp://XXX.XXX.XX.36:1025/#/statushttp://XXX.XX.X.27:9888/#/statushttp://X.XXX.X.200:8080/#/statushttp://XX.XXX.XX.54:8080/#/statushttp://XX.XXX.XX.67:2466/#/statushttp://XX.XXX.XX.87:2466/#/statushttp://XX.XXX.XX.77:2466/#/statushttp://XX.XXX.XX.57:2466/#/statushttp://XX.XXX.XX.73:2466/#/statushttp://XXX.XX.X.52:2466/#/statushttp://XX.XXX.XX.74:2466/#/status
对应未鉴权接口样例(同主机可替换为 /agapi/device/infos?page=1&pageSize=200 或更高 pageSize)。
7. 攻击路径研判
- 攻击者通过互联网或内网探测发现目标平台。
- 直接访问
/#/status或调用/agapi/device/infos获取系统与设备信息。 - 对暴露 WebSSH 的节点尝试弱口令,获取主机权限。
- 读取应用配置文件获取后台凭据(明文口令)。
- 登录后台后持续访问监控画面、配置参数与流媒体凭据,形成长期风险。
8. 修复建议(优先级)
P0(立即处置)
- 对所有后台路由(含
/#/status)增加强制登录拦截与会话校验。 - 对所有
agapi接口启用服务端鉴权,未授权请求统一返回401/403。 - 立即停用弱口令账号,尤其是
root/root,并强制高强度密码策略。 - 全量排查并下线明文凭据,改为加密存储(密文 + 密钥分离)或安全凭据管理。
P1(短期加固)
- 对外网入口实施访问控制(白名单/VPN/零信任网关),关闭不必要暴露端口。
- 增加登录失败限速、验证码、人机校验及告警。
- 清理测试/冗余路由与调试接口,统一权限中间件。
- 轮换后台账号、RTMP 凭据、系统密钥并审计历史会话。
P2(持续治理)
- 发布并推动全版本安全补丁。
- 建立配置文件敏感字段扫描机制(CI/CD + 主机基线)。
- 建立漏洞复测机制,对本报告所有实例逐项闭环验证。
9. 结论
XXXX XXX-XXXXXXX网关当前暴露问题属于“认证绕过 + 接口未鉴权 + 弱口令 + 明文口令存储”的复合型高危风险,且已具备可复现、可规模化利用特征。建议立即处置并开展全网同类资产专项排查。
该漏洞已提交至CNVD国家信息安全漏洞共享平台
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:星宇Sec Thanatos Thanatos《EDU攻防实战:从山东某高校的线下打点到CNVD证书复盘④》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论