0x01 产品简介

linglong扫描系统是一款甲方资产巡航扫描系统。系统定位是发现资产，进行端口爆破。帮助企业更快发现弱口令问题。主要功能包括: 资产探测、端口爆破、定时任务、管理后台识别、报表展示等功能模块。

0x02 漏洞概述

linglong扫描系统 存在JWT密钥硬编码漏洞，未经身份验证验证得攻击者可构造JWT密钥绕着身份认证直接登录系统后台，造成信息泄露，使系统处于极不安全的状态。

0x03 复现环境

FOFA：icon_hash="684115083"

0x04 漏洞复现

访问首页抓取构造任意账号密码抓包

拦截请求响应

重放数据包