0x01 产品简介
linglong扫描系统是一款甲方资产巡航扫描系统。系统定位是发现资产,进行端口爆破。帮助企业更快发现弱口令问题。主要功能包括: 资产探测、端口爆破、定时任务、管理后台识别、报表展示等功能模块。
0x02 漏洞概述
linglong扫描系统 存在JWT密钥硬编码漏洞,未经身份验证验证得攻击者可构造JWT密钥绕着身份认证直接登录系统后台,造成信息泄露,使系统处于极不安全的状态。
0x03 复现环境
FOFA:icon_hash="684115083"
0x04 漏洞复现
访问首页抓取构造任意账号密码抓包
拦截请求响应
重放数据包