D-Link DCS 密码泄露漏洞

已于 2023-06-23 11:08:13 修改
阅读量437 收藏 2
点赞数
分类专栏: 网络安全 文章标签: 安全 web安全
于 2023-06-20 14:32:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_17754023/article/details/131306224
版权
D-Link的DCS系列监控摄像机存在一个信息泄露漏洞,攻击者可利用URL访问获取账号密码。受影响的型号包括DCS-2530L、DCS-2670L等。通过发送特定请求如/config/getuser?index=0,可以揭示密码。请注意,利用此信息造成的后果由使用者自负,文章仅供学习参考。
摘要由CSDN通过智能技术生成

D-Link DCS-2200是一款监控摄像机,成像色彩为彩色 是一款网络摄像机,

D-Link DCS系列监控 通过访问特定的URL得到账号密码信息,攻击者通过漏洞进入后台可以获取视频监控页面

根据VULDB 所看到的信息原文如下

A vulnerability, which was classified as problematic, was found in D-Link DCS-2530L and DCS-2670L (the affected version unknown). This affects some unknown processing of the file /config/getuser. The manipulation with an unknown input leads to a information disclosure vulnerability (Password). CWE is classifying the issue as CWE-200. This is going to have an impact on confidentiality. The summary by CVE is:

影响版本:

DCS-2530L DCS-2670L DCS-4603 DCS-4622 DCS-4701E DCS-4703E DCS-4705E DCS-4802E DCS-P703

漏洞复现:

fofa搜索:

app="D_Link-DCS-4622"(上方影响版本都可以)

使用poc进行账号密码查看,得到密码登录即可

/config/getuser?index=0

 

特别声明:

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,我不为此承担任何责任。

作者有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者的允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。 切勿用于非法,仅供学习参考

一个梦字
关注
专栏目录
安全特警D-link.pdf
07-13
安全特警D-link DCS-5300G是一款高级的网络摄像机,设计用于远程监控和音频监听。这款设备的主要特点包括: 1. **独立式网络摄影机**:DCS-5300G能够独立工作,无需依赖其他硬件设备,通过LAN或WLAN接入网络。 2. ...
D-Link DCS系列监控 账号密码信息泄露漏洞
weixin_51387754的博客
11-05 1097
漏洞简介 D-Link DCS-2200是一款监控摄像机,成像色彩为彩色 是一款网络摄像机, 根据VULDB 所看到的信息原文如下 A vulnerability, which was classified as problematic, was found in D-Link DCS-2530L and DCS-2670L (the affected version unknown). This affects some unknown processing of the file /config/get
允许攻击者访问视频流:D-Link摄像头漏洞分析
systemino的博客
05-05 1421
概述 对于许多人来说,都希望通过安装“智能”摄像头,来提高家庭或办公室的安全性。一旦这些设备直接连接到互联网,只需点击几下,用户就可以轻松查看他们的监控视频流。然而,如果摄像头受到安全漏洞的影响,那么这种“便利性”将很快变成薄弱点,会给未经授权的攻击者打开大门。正如ESET智能家居研究团队的研究结果所显示的,D-Link DCS-2132L云端摄像头就正在面临这样的情况。该摄像头存在一系列安全漏...
D-Link DSL-2888A 远程命令执行漏洞(CVE-2020-24581/24579)
jammny
02-04 2384
漏洞详情 D-Link DSL-2888A AU_2.31_V1.1.47ae55之前版本存在和远程命令执行漏洞,该漏洞源于包含一个execute cmd.cgi特性(不能通过web用户界面访问),该特性允许经过身份验证的用户执行操作系统命令。在该版本固件中同时存在着一个不安全认证漏洞(CVE-2020-24580),在登录界面输入任意密码就可以成功访问路由器界面。通过组合这两个漏洞可以实现未授权的任意代码执行。 漏洞影响 AU_2.31_V1.1.47ae55之前版本 EG_1.00b4 漏洞
D-Link DCS系列监控账号密码信息泄露
The current road is different, love needs to distinguish between right and wrong
11-18 1752
简介: 漏洞编号:CVE-2020-25078 D-Link DCS是网络监控摄像机设备,通过访问特定的URL可以得到账号密码信息,攻击方可以 直接进入利用漏洞得到账户密码直接进入后台获取视频监控页面。 影响版本: DCS-2530L DCS-2670L DCS-4603 DCS-4622 DCS-4701E DCS-4703E DCS-4705E DCS-4802E DCS-P703 漏洞复现: fofa直接搜索: app="D_Link-DCS-2530L" 可以看到还
Struts2/XWork < 2.2.0 Remote Command Execution Vulnerability 临时解决方法
奔跑的羚羊
07-15 431
\u0023这种做为参数名应该出现几率不高 1、给action设置不解析的变量 &lt;action name="HelloWorld" class="example.HelloWorld"&gt; &lt;interceptor-ref name="params"&gt; &lt;param ...
CVE-2020-25078:D-Link DCS系列账号密码信息扩展,通过脚本获取账号密码,可批量
03-30
CVE-2020-25078:D-Link DCS系列账号密码信息扩展,通过脚本获取账号密码,可批量
d-link2760u设置
05-18
**D-Link DCS-2760U设置指南** D-Link DCS-2760U是一款高性能的企业级无线接入点,适用于构建大型网络环境。它提供了高速的无线连接,支持802.11ac标准,可以提供高达1.3Gbps的无线速度。这款设备还具备多种功能,...
Time-lapse DCS-1000W-开源
05-09
【标题】"Time-lapse DCS-1000W-开源" 提供了一种解决方案,将D-Link DCS-1000W 802.11b无线摄像头转换为延时摄影安全监控系统。这个项目的核心是利用Linux的bash脚本语言,使得用户能够充分利用这款家用摄像头的...
FANUC机器人SRVO-348 DCS MCC关闭报警处理方法总结.docx
06-06
### FANUC机器人SRVO-348 DCS MCC关闭报警处理方法总结 #### 报警概述 在工业自动化领域,FANUC机器人的广泛应用带来了生产效率的显著提升。然而,在实际操作过程中,可能会遇到各种各样的报警问题,其中SRVO-348...
D-Link系列家用路由器漏洞分析总结
Hello World.c
04-27 2240
D-Link系列家用路由器漏洞分析总结 ⚡ 尚未了解清楚 ❗ 已编写好完整POC ❓ 未能编写完整POC ❌ 暂时不能实际验证 DCS-2530L CVE-2020-25078 ❗ 敏感信息泄露 D-Link DCS-1100 || DCS-1130 CVE-2017-8416 ⚡ DIR-850L cgi动态web服务器 CVE-2017-3193 ❗ 认证前栈溢出 CVE-2017-14421 ❗ 路由器后门 DIR-816 独立web服务器 CVE-2021-27114 ❓ 认证后栈溢出 CVE
时间&安全精细化管理平台存在未授权访问漏洞
2301_77012231的博客
09-14 155
登录--时间&安全精细化管理平台存在未授权访问漏洞导致与员工信息泄露
注册安全分析报告:熊猫频道
Explinks的博客
09-10 610
熊猫频道作为央视的子频道, 采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的” , “我们怎么会被盯上呢,不可能的”等等。有一些理由虽然有道理,但是该来的总是会来的。前期欠下来的债,总是要还的。越早还,问题就越小,损失就越低。
SSHamble:一款针对SSH技术安全的研究与分析工具
FreeBuf_的博客
09-11 959
SSHamble是一款功能强大的SSH技术安全分析与研究工具,该工具基于Go语言开发,可以帮助广大研究人员更好地分析SSH相关的安全技术与缺陷问题。
3.比 HTTP 更安全的 HTTPS(工作原理理解、非对称加密理解、证书理解)
weixin_52173250的博客
09-07 1553
HTTPS(Hypertext Transfer Protocol Secure)是一种安全的超文本传输协议,主要用于在客户端和服务器之间安全地传输数据
Java代码审计篇 | ofcms系统审计思路讲解 - 篇4 | XXE漏洞审计
最新发布
哦 卷!
09-14 395
我发现很多文章包括教程,大概套路是:只说有漏洞的点,将有漏洞的点指出,然后分析代码;或者黑盒测试出漏洞之后,然后分析代码。我认为这是在分析漏洞代码,而非代码审计。代码审计文章或教程应该是从0开始找到漏洞所在,包括思路!所以这里不管有没有漏洞,我都会把审计过程写出来,因此篇幅会很长,但我认为这样对你会很有帮助。知其然亦知所以然。XXE漏洞审计Java代码审计篇 | ofcms系统审计思路讲解 - 篇1 | 环境搭建、路由机制。
企业如何构建有效的数据泄露防护安全体系
A526847的博客
09-14 280
在当今数字化时代,企业数据已成为核心资产,其安全性直接关系到企业的竞争力、客户信任度以及法律合规性。数据泄露事件频发,不仅会导致经济损失,还可能损害企业声誉和客户关系。因此,构建有效的数据泄露防护安全体系已成为企业不可或缺的重要任务。
远程跨境传输大文件如何做到安全又稳定?
镭速的博客
09-14 216
在当今全球化的商业环境中,企业跨境传输大文件的需求日益增长。这不仅涉及到数据的快速迁移,还包括了安全性、稳定性和合规性等多重挑战。本文将探讨企业在跨境传输大文件时可能遇到的问题,以及在传输过程中应注意的事项,并重点介绍镭速在方面的优势。
使用Let’s Encrypt 配置 SSL 证书去除浏览器不安全告警
舒一笑的博客
09-14 76
执行完上述命令之后会提示你输入一下自己的邮箱信息等等然后会给你两个TXT的值类型,需要将这两个值配置在你自己的云服务DNS解析中,我这里以阿里云DNS为例。配置解析值时候需要注意自己购买的云厂商的解析规则,例如这里阿里云DNS是默认会带上你的一级域名,因此在书写配置时候就不用写了。经过我的验证这边虽然是免费的ssl认证给你白嫖三个月,但是如果你上述解析配置正确的话还是认证发证书很快的。然后后续的话需要在nginx中配置自己的一下证书信息,下面展示一下我的nginx配置。使用命令查看一下证书文件是否存在。
浙大中控ESC-100 DCS冗余硬件详解
本文主要介绍了浙江大学中控DCS系统的基础知识,特别是硬件方面。首先,我们概述了DCS(分布式控制系统)的概念,它是利用微处理器和网络技术对生产过程进行集中管理和分散控制的系统,尤其在化工、电力和冶金等领域...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值