WITPOS-3收银系统弱口令可远程操作

案例

通过shodan.io搜索关键词,得到400多个案例,如图

火狐截图_2016-10-20t02-31-01.377z.png - 大小: 334.13 KB - 尺寸:  x  - 点击打开新窗口浏览全图
由于shodan的数据比较旧,而且这些收银机通常是动态IP,所以shodan上的很多案例都无法访问,机智的博主当然不会担心这个问题了,手头上有一份比较新的IP扫描数据,自己动手丰衣足食,扫描到了一批可以访问的IP,如图
火狐截图_2016-10-20t02-36-17.674z.png - 大小: 10.72 KB - 尺寸: 286 x 333 - 点击打开新窗口浏览全图

测试

博主使用的是火狐浏览器,收银系统必须使用谷歌浏览器才能用

火狐截图_2016-10-20t02-27-37.089z.png - 大小: 19.65 KB - 尺寸:  x  - 点击打开新窗口浏览全图
搞个谷歌浏览器进行测试
2016-10-20 10-40-54屏幕截图.png - 大小: 269.04 KB - 尺寸: 804 x 455 - 点击打开新窗口浏览全图
可以看到可以进行关机操作,这里尝试使用密码 admin 登录
2016-10-20 10-41-56屏幕截图.png - 大小: 215.66 KB - 尺寸: 806 x 461 - 点击打开新窗口浏览全图
成功
2016-10-20 10-44-48屏幕截图.png - 大小: 29.87 KB - 尺寸:  x  - 点击打开新窗口浏览全图
看到可进行各种操作
2016-10-20 10-48-43屏幕截图.png - 大小: 42.51 KB - 尺寸:  x  - 点击打开新窗口浏览全图
2016-10-20 10-49-13屏幕截图.png - 大小: 46.7 KB - 尺寸:  x  - 点击打开新窗口浏览全图
测试发现我扫描到的全部IP都能够登录成功

危害

像这种POS收银系统其实没有必要对外开放WEB,开放WEB的原因最常见的就是连锁店,方便总部统一查询管理,但是只用默认弱口令直接登录就不太好了,很容易被爆破,后果比较严重,篡改会员信息,营业数据等。

如果您觉得文章有帮助到您,请到 https://www.92ez.com/index.php?action=show&id=23403 进行打赏/捐赠,谢谢!
本文链接:https://www.92ez.com/?action=show&id=23415
提示:技术文章有一定的时效性,请先确认是否适用你当前的系统环境。

上一篇: 新都(Sindoh)复合机WEB未授权可远程操作
下一篇: 某AP管理系统权限绕过

访客评论
目前还没有人评论,您发表点看法?
发表评论

评论内容 (必填):