大华DSS数字监控系统 attachment_clearTempFile sql注入漏洞复现(含nuclei-POC)

已于 2024-03-19 12:54:28 修改
阅读量834 收藏
点赞数 4
分类专栏: 漏洞复现 文章标签: 安全 web安全 网络安全
于 2024-03-19 12:20:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50797689/article/details/136838384
版权
漏洞复现 专栏收录该内容
33 篇文章 82 订阅 ¥9.90 ¥99.00
订阅专栏
本文介绍了大华DSS数字监控系统存在的attachment_clearTempFile SQL注入漏洞,详细阐述了漏洞的危害,即攻击者可能获取数据库权限导致敏感信息泄露。通过fofa查询和nuclei-POC进行漏洞复现,并给出修复建议,即联系厂商获取补丁更新。
摘要由CSDN通过智能技术生成

免责声明 由于传播、利用本CSDN所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为承担任何责任,一旦造成后果请自行承担!

一、产品介绍

大华DSS(Digital Surveillance System)是一款功能强大的数字监控系统,广泛应用于各类安全监控场景。它采用先进的数字视频处理技术,能够实现高清、实时的视频监控,为安全管理提供了有力支持。
 

二、漏洞描述

大华DSS数字监控系统attachment_clearTempFile .action?bean.RecId存在SQL注入漏洞,攻击者可以通过此漏洞获取数据库权限,造成敏感信息泄露。
 

三、漏洞危害

未授权攻击者可以通过此漏洞获取数据库权限,造成敏感信息泄露。

四、漏洞复现

fofa: app="dahua-DSS"

了解本专栏 订阅专栏 解锁全文
0xOctober
关注
专栏目录
订阅专栏
大华 DSS 数字监控系统 itcBulletin SQL 注入
weixin_43567873的博客
03-09 533
大华 DSS 数字监控系统 itcBulletin SQL 注入
漏洞复现大华DSS数字监控系统getAttList SQL注入漏洞
晚风不及你
03-05 763
大华DSS数字监控系统是一个在通用安防视频监控系统基础上设计开发的系统,除了具有普通安防视频监控系统的实时监视、云台操作、录像回放、报警处理、设备治理等功能外,更注重用户使用的便利性。
大华 DSS 数字监控系统attachment_clearTempFile.action存在SQL注入漏洞
weixin_43167326的博客
03-20 1225
大华DSS(Digital Surveillance System)是一款功能强大的数字监控系统,广泛应用于各类安全监控场景。它采用先进的数字视频处理技术,能够实现高清、实时的视频监控,为安全管理提供了有力支持。大华DSS系统具有高度的灵活性和可扩展性,可根据实际需求配置不同的监控设备,满足不同场合的安全监控需求。同时,系统还支持远程监控和管理,用户可通过手机、电脑等终端设备随时查看监控画面,实时掌握现场情况。
视频监控汇聚平台:通过SDK接入大华DSS视频监控平台的源代码解释和分享
最新发布
weixin_70208651的博客
07-13 1476
视频监控接入汇聚平台是集成了视频资源接入、汇聚、存储、处理、分析、运维,旨在实现不同品牌、不同协议、不同型号的视频监控资源的统一接入、汇聚、存储、管理和应用。支持多种接入协议,如GB/T28181、RTSP、ONVIF、RTMP等协议及特定的协议,实现视频资源的集中管理和融合应用,并提供API接口。C++代码是大华DSS视频监控平台接入到AS-V1000的SDK代码的源代码函数,封装和大华DSS平台交互的网络SDK功能。类封装了一系列方法,用于登录、实时预览、回放控制、PTZ控制、报警设置等,以及成员变量。
大华 DSS 数字监控系统 itcBulletin SQL 注入漏洞复现
holyxp的博客
12-18 2776
大华 DSs 数字监控系统大华开发的一款安防视频监控系统,拥有实时监视、云台操作、录像回放、报警处理、设备管理等功能。大华 DSS存在SQL注入漏洞,攻击者 pota/services/itcBuletin 路由发送特殊构造的数据包,利用报错注入获取数据库敏感信息。攻击者除了可以利用 SQL注入漏词获取数据库中的信息例如,管理员后台密码、站点的用户人人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限poc验证是否存在漏洞如果你想查询用户名和密码。
大华数字监控系统DSS-M2.1安装手册_V1.0
08-26
大华数字监控系统DSS-M2.1安装手册_V1.0
大华 DSS 数字监控系统 attachment_clearTempFile.action SQL注入漏洞复现
0xSec
03-20 928
大华 DSS存在SQL注入漏洞,攻击者 向 attachment_clearTempFile.action 路由发送特殊构造的数据包,利用报错注入获取数据库敏感信息。攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
大华DSS数字监控系统attachment_clearTempFile.action SQL注入漏洞
weixin_43567873的博客
03-22 327
大华DSS数字监控系统attachment_clearTempFile.action SQL注入漏洞
数字监控系统DSS2.0(安装说明)
08-06
数字监控系统DSS2.0,管理的视频、移动巡查、车辆、重点设施等城管资源数据和现有应用系统,改造和完善现有的城管案件处置流程,将现有城市综合管理的巡查发现、投诉受理、协调督办、检查考评、设施监控、指挥调度等工作纳入系统管理,构筑市、区及各职能部门共享的一体化城市综合管理监督、考核和指挥调度体系,建立日常控管与应急指挥有机结合地城市综合管理信息化处理机制。
大华 DSS 数字监控系统 attachment_getAttList.actionSQL注入漏洞
weixin_43167326的博客
02-08 567
大华DSS数字监控系统attachment_getAttList接口存在SQL注入漏洞,攻击者可以利用该漏洞获取数据库敏感信息。
大华平台DSS视频监控系统介绍.doc
05-13
大华平台DSS视频监控系统介绍
大华DSS二次开发(OCX) v1.1.003 2014/9/23
06-11
大华DSS二次开指南(ocx版) v1.1.003 2014/9/23 大华DSS视频监控平台二次开发包
大华科技摄像头产品非授权访问漏洞技术分析与防护方案
02-10
大华科技摄像头产品非授权访问漏洞技术分析与防护方案
大华dss平台连接摄像头
11-06
这个webdemo可以通过连接大华dss平台来访问摄像头画面,包括云台的控制,画面回放等都可以实现。
漏洞复现大华DSS数字监控系统配置系统后台弱口令漏洞
晚风不及你
03-08 1391
大华DSS数字监控系统是一个在通用安防视频监控系统基础上设计开发的系统,除了具有普通安防视频监控系统的实时监视、云台操作、录像回放、报警处理、设备治理等功能外,更注重用户使用的便利性。
大华监控DSS存在SQL注入高危漏洞
wan___she__pi的博客
03-27 861
大华DSS大华的大型监控管理应用平台,支持几乎所有涉及监控等方面的操作,支持多级跨平台联网等操作。将视频监控、卡口拍照、 区间测速 、电子地图、违章查询系统等诸多主流应用整合,实现更加智能、便捷的分级查询服务。大华 DSS 数字监控系统 存在File.action SQL注入,黑客可以利用该漏洞执行任意SQL语句,获取敏感信息,造成危害。
漏洞复现大华DSS数字监控系统Struct2-045命令执行漏洞
晚风不及你
03-07 865
大华DSS数字监控系统是一个在通用安防视频监控系统基础上设计开发的系统,除了具有普通安防视频监控系统的实时监视、云台操作、录像回放、报警处理、设备治理等功能外,更注重用户使用的便利性。
大华DSS视频监控二次开发手册(OCX控件)
"大华DSS二次开发指南(OCX)是浙江大华技术股份有限...通过这份DSS二次开发指南,开发者能够深入了解如何利用大华提供的工具和接口,自定义开发视频监控应用,实现与DSS平台的深度集成,提升监控系统的功能和用户体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xOctober

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值