海康威视iSecure Center 综合安防管理平台detection接口存在远程命令执行漏洞

最新推荐文章于 2024-08-21 10:51:19 发布

xiaokp7

最新推荐文章于 2024-08-21 10:51:19 发布

阅读量959

点赞数 12

分类专栏：漏洞复现文章标签：漏洞复现

本文链接：https://blog.csdn.net/qq_33331244/article/details/140660218

版权

漏洞复现专栏收录该内容

50 篇文章 18 订阅 ¥39.90 ¥99.00

订阅专栏

超级会员免费看

一、漏洞简介

HIKVISION iSecure Center综合安防管理平台是一套“集成化”、“智能化”的平台，通过接入视频监控、一卡通、停车场、报警检测等系统的设备，获取边缘节点数据，实现安防信息化集成与联动，以电子地图为载体，融合各系统能力实现丰富的智能应用。HIKVISION iSecure Center平台基于“统一软件技术架构”先进理念设计，采用业务组件化技术，满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务，对各系统资源进行了整合和集中管理，实现统一部署、统一配置、统一管理和统一调度。Hikvision海康威视综合安防管理平台detection接口处存在前台远程命令执行漏洞

二、资产测绘

hunter：app.name==“Hikvision 海康威视 iSecure Center”
特征

三、漏洞复现

POST /center/api/installation/detection HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWeb

了解本专栏

订阅专栏解锁全文

超级会员免费看

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

xiaokp7

关注关注

12
点赞
踩
0

收藏

觉得还不错? 一键收藏
打赏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

订阅专栏

【漏洞复现】海康威视iVMS综合安防系统任意文件上传漏洞复现 (在野0day)

做自己喜欢的事，并将其发挥到极致！

06-02

1万+

海康威视 iVMS 集中监控应用管理平台，是以安全防范业务应用为导向，以视频图像应用为基础手段，综合视频监控、连网报警、智能分析、运维管理等多种安全防范应用系统，构建的多业务应用综合管理平台。海康威视 iVMS系统存在在野利用 0day漏洞，攻击者可通过获取密钥任意构造token，请求/resourceOperations/upload 接口任意上传文件，导致获取服务器WebShell权限，同时可远程进行恶意代码执行。

【漏洞复现】海康威视综合安防管理平台Fastjson远程命令执行漏洞复现

做自己喜欢的事，并将其发挥到极致！

04-28

8903

综合安防管理平台基于统一软件技术架构理念设计，采用业务组件化技术，满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务，对各系统资源进行了整合和集中管理，实现统一部署、配置、管理和调度。海康威视综合安防管理平台存在Fastjson远程命令执行漏洞，该漏洞可执行系统命令，可获取到目标服务器系统权限以及敏感数据信息。

参与评论您还未登录，请先登录后发表或查看评论

(新接口)用友GRP-U8多个接口存在SQL 注入漏洞-0day

weixin_43167326的博客

02-22

459

用友GRP-U8是用友公司推出的一款企业级管理软件，涵盖财务、人力资源、供应链等多个领域，适用于各类企业。该系统拥有灵活的定制化功能，可根据企业需求进行模块选择和定制开发，满足不同行业的管理需求。用友GRP-U8整合了企业各业务环节，实现信息共享和流程优化，帮助企业提高管理效率，降低成本，提升竞争力。

海康威视iSecure Center综合安防管理平台 config.properties信息泄漏漏洞

最新发布

菜鸟学渗透

08-21

457

海康威视iSecure Center综合安防管理平台 config.properties信息泄漏漏洞

海康威视综合安防管理平台 detection 前台RCE漏洞复现

0xSec

07-22

5011

海康威视综合安防管理平台 /center/api/installation/detection 接口处存在远程命令执行漏洞，未经身份验证的远程攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个web服务器。

海康综合安防管理平台远程命令执行漏洞（CNVD-2024-18673）复现

fly夏天的博客

06-19

2170

海康综合安防管理平台远程命令执行漏洞（CNVD-2024-18673）复现

某购物商城系统commodtiy接口处存在任意文件上传漏洞

weixin_43167326的博客

05-10

910

某购物商城系统commodtiy接口处存在任意文件上传漏洞,恶意攻击者可以上传恶意软件，例如后门、木马或勒索软件，以获取对服务器的远程访问权限或者破坏系统，对服务器造成极大的安全隐患。

海康威视iSecure-Center 综合安防管理平台 applyAutoLoginTicket/keepAlive/applyCT 远程命令执行漏洞

WuYSec的博客

06-12

1073

海康威视iSecure Center综合安防管理平台是一套集成化、智能化的安防管理系统。海康威视iSecure Center综合安防管理平台存在远程命令执行漏洞，可造成远程命令执行。

海康威视综合安防管理平台多处 FastJson反序列化RCE漏洞复现

0xSec

06-07

2094

由于海康威视综合安防管理平台使用了低版本的fastjson，攻击者可在未鉴权情况下获取服务器权限，且由于存在相关依赖，即使服务器不出网无法远程加载恶意类也可通过本地链直接命令执行，从而获取服务器权限。

海康威视综合安防管理平台Fastjson远程命令执行漏洞

holyxp的博客

07-24

2115

综合安防管理平台基于 " 统一软件技术架构" 理念设计，采用业务组件化技术，满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务，对各系统资源进行了整合和集中管理，实现统一部署、配置、管理和调度。

海康威视iSecure Center综合管理平台产品手册

01-12

海康威视iSecure Center综合管理平台是一款专为安防领域设计的高度集成化和智能化的管理工具，旨在满足全行业的综合安防需求。该平台基于“统一软件技术架构”理念，运用业务组件化技术，确保了平台在业务扩展上的...

iSecure Center综合安防管理平台配置手册 V2.0.0

01-04

【海康威视iSecure Center综合安防管理平台配置手册 V2.0.0】是针对该公司的安防管理系统的一份详细指南。iSecure Center是一个一体化、智能化的解决方案，它旨在通过集成视频监控、停车场管理、门禁控制以及报警...

海康威视iSecure Center综合管理平台产品配置手册chm版

04-16

海康威视iSecure Center综合管理平台产品手册综合安防管理平台基于“统一软件技术架构”理念设计，采用业务组件化技术，满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务，对各系统资源进行了整合...

海康威视iSecure Center综合安防管理平台-视频联网网关(NCG)用户手册

04-19

海康威视iSecure Center是一款综合安防管理平台，旨在提供高效、全面的视频监控解决方案。该平台中的视频联网网关（NCG）是其核心组件之一，主要负责视频数据的联网管理和处理。以下是对该用户手册中涉及的关键知识...

HiKVISION 综合安防管理平台 env信息泄漏漏洞，2024年最新网络安全源码剖析之Framwork层消息传递

2301_76225520的博客

04-13

819

Hikvision是一家在中国颇具影响力的安防公司，其网络摄像头产品在市场上占据了相当大的份额。综合安防管理平台基于“统一软件技术架构”理念设计，采用业务组件化技术，满足平台在业务上的弹性扩展。

【攻防演练】【含poc和修复建议】海康威视综合安防管理平台远程命令执行漏洞

zzxx191z的博客

07-27

1159

使用防护类设备进行防护，限制访问/center/api/installation/detection 路径，拦截请求中出现的恶意命令注入。

海康威视 isecure center 综合安防管理平台任意文件上传漏洞

做自己喜欢的事，并将其发挥到极致！

06-19

1362

海康威视部分综合安防管理平台管理平台基于统一软件技术架构理念设计，采用业务组件化技术，满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务，对各系统资源进行了整合和集中管理，实现统一部署、配置、管理和调度。海康威视综合安防管理平台keepAlive接口存在Fastjson远程命令执行漏洞，攻击者可通过构造恶意Payload执行并获取服务器系统权限以及敏感数据信息。

海康威视isecure center 综合安防管理平台任意文件上传漏洞

11-30

海康威视iSecure Center综合安防管理平台曾存在任意文件上传漏洞。该漏洞允许攻击者通过在应用程序中上传恶意文件来执行任意代码或获取系统权限。这种漏洞可能导致非授权访问、信息泄露、拒绝服务攻击等安全风险。任意文件上传漏洞通常出现在没有适当的身份验证和文件类型验证的应用程序中。攻击者可以通过构造恶意请求，上传包含恶意脚本或恶意软件的文件，从而执行恶意代码或操作系统命令。为了防止此类漏洞的发生，海康威视应采取以下措施来加强安全性： 1. 进行有效的输入验证和过滤：实施适当的输入验证，对用户输入进行有效检测和过滤，以防止恶意文件或代码的上传。 2. 限制上传文件类型和大小：对文件上传功能进行严格限制，白名单验证只允许上传特定的文件类型，同时限制文件大小。 3. 实施安全审计和监控：监控平台中的文件上传活动，及时发现和阻止恶意行为，同时记录日志以便进行安全审计和调查。 4. 及时更新和修复漏洞：对已知的漏洞进行及时修复和更新，及早应用安全补丁以确保系统的安全性。 5. 提供安全培训和意识教育：向开发人员和系统管理员提供安全培训，提高其对安全漏洞和攻击的认识，增强安全意识。通过采取上述措施，海康威视iSecure Center综合安防管理平台可以有效地防止任意文件上传漏洞的利用，提高系统的安全性和可靠性。同时，及时修复和更新系统中已知的漏洞，以减少安全风险对系统的威胁。