【漏洞复现】大华智能物联综合管理平台 fastjson远程代码执行漏洞复现

已于 2024-12-27 10:17:58 修改
阅读量682 收藏
点赞数
分类专栏: # 漏洞复现 文章标签: 大华智能物联综合管理平台 远程代码执行漏洞 序列化 漏洞复现 网络安全 反序列化 web安全
于 2024-12-25 10:35:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71944965/article/details/144710781
版权

免责声明

请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!!!

0x01 产品介绍

大华ICC智能物联综合管理平台对技术组件进行模块化和松耦合,将解决方案分层分级,提高面向智慧物联的数据接入与生态合作能力。

0x02 漏洞威胁

由于大华智能物联综合管理平台使用了存在漏洞的FastJson组件,未经身份验证的攻击者可利用 /evo-runs/v1.0/auths/sysusers/random 接口发送恶意的序列化数据执行任意指令,造成代码执行。

0x03 漏洞环境

FOFA:icon_hash=“-1935899595”

在这里插入图片描述

0x0

了解本专栏 订阅专栏 解锁全文 超级会员免费看
漏洞复现大华-智能综合管理平台-random-远程命令执行
知黑而守白
02-01 1733
浙江大华技术股份有限公司智能综合管理平台是一款基于网技术的综合性管理平台,旨在为企业和用户提供智能化、便捷化的网解决方案。该平台整合了大华技术在视频监控、数据采集、数据分析等方面的核心技术,实现了对各类网设备的统一管理和控制,提高了企业的运营效率和管理水平。智能综合管理平台 random 接口处存在远命令执行漏洞,使得攻击者可以通过构造特定的请求远程执行恶意代码。此漏洞可能导致攻击者获取系统权限、执行任意命令,严重威胁系统的机密性和完整性。
大华智能综合管理平台 fastjson远程代码执行漏洞复现
0xSec
05-11 2857
​由于大华智能综合管理平台使用了存在漏洞FastJson组件,未经身份验证的攻击者可利用/evo-runs/v1.0/auths/sysusers/random接口发送恶意的序列化数据执行任意指令,造成代码执行
大华智能综合管理平台 fastjson反序列化漏洞
一个努力学习网安的小牛马
05-14 1649
反序列化漏洞未公开
Palo Alto Networks PAN-OS身份认证绕过导致RCE漏洞
ZeroDay001的博客
11-21 188
Palo Alto Networks PAN-OS身份认证绕过导致RCE漏洞这是一个集内容管理与发布于一体的智能平台,广泛服务于新闻媒体及内容创作行业。平台支持多端协同和多渠道分发,拥有素材管理、内容编辑、智能审核等核心功能,并通过技术辅助创作与数据分析,显著提升内容生产效率与传播质量。从内容采集到发布实现全流程覆盖,优化工作流程,提高传播的精准度和时效性,帮助用户在数字化内容生态中实现高效协作与影响力扩展。
漏洞复现大华ICC智能综合管理平台任意文件读取漏洞
晚风不及你
03-10 3397
大华智能综合管理平台 iConnection Center(以下简称:ICC平台),是一套基于智能的综合业务管理平台软件,具备强大的后台服务能力,配套了B/S管理员端、C/S客户端、移动APP终端、小程序等不同应用端,满足用户各种使用需求。
漏洞复现大华-智能综合管理平台-page-信息泄露
知黑而守白
02-01 609
浙江大华技术股份有限公司智能综合管理平台是一款基于网技术的综合性管理平台,旨在为企业和用户提供智能化、便捷化的网解决方案。该平台整合了大华技术在视频监控、数据采集、数据分析等方面的核心技术,实现了对各类网设备的统一管理和控制,提高了企业的运营效率和管理水平。智能综合管理平台 page 接口处存在信息泄漏。攻击者可通过构造特定的数据包可以获取系统敏感信息。
漏洞复现大华智慧园区综合管理平台deleteftp命令执行漏洞
晚风不及你
03-17 642
大华智慧园区综合管理平台是一款综合管理平台,具备园区运营、资源调配和智能服务等功能。该平台旨在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务,增强使用体验。
漏洞复现大华智慧园区综合管理平台ipms命令执行漏洞
晚风不及你
03-16 736
大华智慧园区综合管理平台是一款综合管理平台,具备园区运营、资源调配和智能服务等功能。该平台旨在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务,增强使用体验。
大华智能综合管理平台 log4j远程代码执行漏洞复现
0xSec
05-11 2167
大华ICC智能综合管理平台/evo-apigw/evo-brm/1.2.0/user/is-exist 接口处存在log4j远程代码执行漏洞,未经身份验证的攻击者可以利用此漏洞远程代码执行,进一步构造系统内部利用链可导致服务器失陷。
漏洞复现大华-智慧园区综合管理平台-wpms-deleteftp-远程命令执行
知黑而守白
02-01 385
大华智慧园区综合管理平台是一款基于云计算、大数据、人工智能等技术的智慧园区管理解决方案,可为园区提供运营管理、综合安防、便捷通行、协同办公等多项功能,帮助园区实现安全等级提升、工作效率提升、管理成本下降。大华智慧园区综合管理平台 deleteftp 接口处存在远命令执行漏洞,使得攻击者可以通过构造特定的请求远程执行恶意代码。此漏洞可能导致攻击者获取系统权限、执行任意命令,严重威胁系统的机密性和完整性。
大华综合监控管理平台
09-06
大华综合监控管理平台介绍PPT(含成功案例)
[未公开0day]大*智能综合管理平台(ICC)存在管理员密码重置漏洞
LiangYueSec的博客
06-26 1812
[未公开0day]大*智能综合管理平台(ICC)存在管理员密码重置漏洞
漏洞复现大华ICC智能综合管理平台token弱口令漏洞
晚风不及你
03-09 1854
大华智能综合管理平台 iConnection Center(以下简称:ICC平台),是一套基于智能的综合业务管理平台软件,具备强大的后台服务能力,配套了B/S管理员端、C/S客户端、移动APP终端、小程序等不同应用端,满足用户各种使用需求。
漏洞复现大华智能ICC综合管理平台弱口令漏洞
晚风不及你
02-23 3545
大华智能ICC综合管理平台是一个集成了多种智能应用服务能力的平台。该平台提供了一系列的基础能力,如中台基础能力、各智能应用服务能力以及周边生态支持。
大华智能综合管理平台justForTest用户登录漏洞(含批量验证poc)
weixin_43567873的博客
04-22 1586
大华智能综合管理平台justForTest用户登录漏洞(含批量验证poc)
大华智能综合管理平台justForTest用户登录漏洞
qq_39573664的博客
12-27 3166
浙江大华技术股份有限公司智能综合管理平台 用户登录接口/evo-apigw/evo-oauth/oauth/token存在漏洞,使用用户justForTest/任意密码即可成功登录平台,造成信息泄露。
漏洞复现大华智能ICC综合管理平台文件读取漏洞
晚风不及你
02-23 3532
大华智能ICC综合管理平台是一个集成了多种智能应用服务能力的平台。该平台提供了一系列的基础能力,如中台基础能力、各智能应用服务能力以及周边生态支持。
漏洞复现大华-智能综合管理平台-token-默认口令
知黑而守白
02-01 852
浙江大华技术股份有限公司智能综合管理平台是一款基于网技术的综合性管理平台,旨在为企业和用户提供智能化、便捷化的网解决方案。该平台整合了大华技术在视频监控、数据采集、数据分析等方面的核心技术,实现了对各类网设备的统一管理和控制,提高了企业的运营效率和管理水平。智能综合管理平台存在默认密码漏洞,通过默认用户名密码可以访问后台。
富通天下外贸ERP UploadEmailAttr文件上传漏洞
最新发布
yxr520yj的博客
01-07 281
本文旨在提供有关特定漏洞安全风险的详细信息,以帮助安全研究人员、系统管理员和开发人员更好地理解和修复潜在的安全威胁,协助提高网络安全意识并推动技术进步,而非出于任何恶意目的。利用本文提到的漏洞信息或进行相关测试可能会违反法律法规或服务协议。作者不对读者基于本文内容而产生的任何行为或后果承担责任。如有任何侵权问题,请系作者删除。
fastjson1.2.24版本远程代码执行漏洞分析
资源摘要信息:"fastjson1.2.24反序列化远程代码执行漏洞复现" 一、fastjson简介 fastjson是一款Java语言编写的高性能、全面支持性良好的JSON处理库。它实现了JSON数据与Java对象之间的转换,并且被广泛应用于各种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值