【漏洞复现】大华城市安防监控系统平台任意文件下载漏洞

最新推荐文章于 2024-12-11 17:28:14 发布

Aniya也会哭

最新推荐文章于 2024-12-11 17:28:14 发布

阅读量841

点赞数 7

分类专栏：漏洞复现文章标签： web安全网络安全安全

本文链接：https://blog.csdn.net/KKleeeaa/article/details/135980655

版权

文章揭示了大华城市安防监控系统平台的一个任意文件下载漏洞，攻击者可通过未验证的接口获取敏感文件。文中提供了Fofa语句示例和漏洞POC，同时强调用户应关注厂商官方更新以修复此安全问题。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

声明：亲爱的读者，我们诚挚地提醒您，Aniya网络安全的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失，均由使用者自行承担责任。Aniya网络安全及作者对此概不负责。如有侵权，请立即告知，我们将立即删除并致歉。感谢您的理解与支持！

0x01 漏洞概述

大华城市安防监控系统平台 attachment_downloadByUrlAtt.action接口存在任意文件下载漏洞，未经身份验证的攻击者可以获取系统内部敏感文件信息，使系统处于极不安全的状态。

0x02 Fofa语句

body="<meta http-equiv=\"refresh\" content=\"1;url='/admin'\"></span>" || body="dahuaDefined/headCommon.js" || title=="DSS"

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Aniya也会哭

关注关注

7
点赞
踩
7

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

大华DSS数字监控系统 attachment_clearTempFile sql注入漏洞复现（含nuclei-POC）

m0_50797689的博客

03-19

969

大华DSS数字监控系统 attachment_clearTempFile sql注入漏洞复现（含nuclei-POC）

大华城市安防监控系统平台 任意文件下载漏洞复现(QVD-2023-20736)

0xSec

02-01

590

大华城市安防监控系统平台 attachment_downloadByUrlAtt.action接口存在任意文件下载漏洞，未经身份验证的攻击者可以获取系统内部敏感文件信息，使系统处于极不安全的状态。

1 条评论您还未登录，请先登录后发表或查看评论

大华平台DSS视频监控系统介绍.doc

05-13

大华平台DSS视频监控系统介绍

大华科技摄像头产品非授权访问漏洞技术分析与防护方案

02-10

大华科技摄像头产品非授权访问漏洞技术分析与防护方案

大华城市安防系统平台任意文件下载漏洞

CommputerMac的博客

10-06

991

大华城市安防监控系统平台是一款集视频、报警、存储、管理于一体的综合安防解决方案。该平台支持多种接入方式，包括网络视频、模拟视频、数字视频、IP电话、对讲机等。此外，该平台还支持多种报警方式，包括移动侦测、区域入侵、越线报警、人员聚集等。filePath=file:///etc/passwd，可下载文件。大华城市安防监控系统平台管理存在任意文件下载漏洞，攻击者通过漏洞可以下载服务器上的任意文件。关注微信公众号 网络安全透视镜回复 20231007 获取检测利用脚本。

大华股份监控存在高危漏洞【附POC】

jijisaq的博客

03-27

1401

同时，它还可以通过采集监控数据、提高管理监督效果，有效震慑违法犯罪行为的发生，并达到有效震慑违法犯罪行为的效果。大华DSS是大华的大型监控管理应用平台，支持几乎所有涉及监控等方面的操作，支持多级跨平台联网等操作。由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，本公众号及作者不为此承担任何责任，一旦造成后果请自行承担！今年肯定能“一帆风顺，二龙腾飞，三羊开泰，四季平安，五福临门，六六大顺，七星高照，八方来财，九九同心，十全十美，百事亨通，千事吉祥，万事如意“。

大华智慧园区综合管理平台 任意文件读取漏洞复现

10-10

1618

大华智慧园区综合管理平台是一款综合管理平台，具备园区运营、资源调配和智能服务等功能。平台意在协助优化园区资源分配，满足多元化的管理需求，同时通过提供智能服务，增强使用体验。

【漏洞复现】大华DSS城市安防监控平台任意文件读取漏洞

晚风不及你

03-05

1107

大华DSS数字监控系统平台存在任意文件读取漏洞，攻击者可以通过此漏洞获取服务器上的任意文件，造成敏感信息泄露。

大华DSS数字监控系统 attachment_downloadAtt.action 任意文件下载漏洞复现

iSee857的博客

12-11

316

大华DSS数字监控系统 attachment_downloadAtt.action接口存在任意文件读取漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。

大华城市安防监控系统平台 任意文件下载(QVD-2023-20736)

weixin_43567873的博客

03-08

177

大华城市安防监控系统平台 任意文件下载(QVD-2023-20736)

DAHUA大华摄像头HTTP协议API

08-23

HAHUA大华录像机开发用API文档，HTTP协议使用，版本1.0—－

大华 DSS 数字监控系统 user_edit.action 信息泄露漏洞复现

0xSec

05-30

1328

大华 DSS 数字监控系统 user_edit.action 接口处存在信息泄露漏洞。未经身份验证的远程攻击者可利用此漏洞读取后台管理员账号密码等信息，破解密码后可直接登录后台，使系统处于极不安全的状态。

大华监控DSS存在SQL注入高危漏洞

wan___she__pi的博客

03-27

1010

大华DSS是大华的大型监控管理应用平台，支持几乎所有涉及监控等方面的操作，支持多级跨平台联网等操作。将视频监控、卡口拍照、区间测速、电子地图、违章查询系统等诸多主流应用整合，实现更加智能、便捷的分级查询服务。大华 DSS 数字监控系统存在File.action SQL注入，黑客可以利用该漏洞执行任意SQL语句，获取敏感信息，造成危害。

【漏洞复现】大华-城市安防监控系统平台管理-SQL注入-itcBulletin

知黑而守白

06-19

312

DSS是大华的大型监控管理应用平台，支持几乎所有涉及监控等方面的操作，支持多级跨平台联网等操作。可将视频监控、卡口拍照、区间测速、电子地图、违章查询系统等诸多主流应用整合在一起，实现更加智能、便捷的分级查询服务。大华DSS itcBulletin 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句，成功注入并执行恶意数据库操作，可能导致敏感信息泄露、数据库被篡改或其他严重后果。

城市摄像头安全漏洞

andychuen的专栏

01-02

2597

1.摄像头安全漏洞：弱口令、使用相同固件、分布广易受攻击 网络安全创新企业华顺信安，于本周四发布《网络空间测绘系列—2018年摄像头安全报告》。这是首个基于国内网络空间测绘技术的摄像头安全报告。互联网摄像头暴露情况报告显示，摄像头已经无所不在，全球228个国家和地区，8063个城市，2635万个摄像头暴露在公网。DDoS攻击、机构安全风险、个人隐私泄露等事件层...

【复现】大华 DSS 数字监控系统 SQL 注入漏洞_18

fushuang333的博客

01-14

1909

【复现】大华 DSS 数字监控系统 SQL 注入漏洞，大华DSS是大华的大型监控管理应用平台，支持几乎所有涉及监控等方面的操作，支持多级跨平台联网等操作。

任意文件读取/下载漏洞总结

【漏洞复现】大华城市安防监控系统平台 任意文件下载漏洞

0x01 漏洞概述

0x02 Fofa语句

【漏洞复现】大华城市安防监控系统平台任意文件下载漏洞