【漏洞复现】Hikvision摄像头产品代码执行漏洞(CVE-2021-36260)

已于 2024-01-20 09:43:58 修改
阅读量6.1k 收藏 12
点赞数 11
文章标签: web安全
于 2024-01-20 09:42:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37113223/article/details/135711258
版权
【漏洞复现】 专栏收录该内容
150 篇文章

已下架不支持订阅

本文介绍了海康威视(Hikvision)摄像头存在的越权漏洞(CVE-2017-7921),详细阐述了漏洞描述、复现过程以及修复建议。通过特定路径,攻击者可以访问系统并执行命令。修复此问题的最佳方式是联系厂商进行处理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Nx01 产品简介

        Hikvision(海康威视)是一家在中国颇具影响力的安防公司,其网络摄像头产品在市场上占据了相当大的份额。Hikvision的网络摄像头产品线非常丰富,涵盖了各种型号和功能,以满足不同用户的需求。

Nx02 漏洞描述

        Hikvision摄像头产品的越权漏洞(CVE-2017-7921)是一种严重的安全问题,该漏洞允许未经授权的用户访问和控制系统。通过特定的路径访问Hikvision摄像头的某些功能,包括检索所有用户及其角色的列表、获取相机快照以及下载摄像头配置账号密码文件等。

Nx03 产品主页

fofa-query: app="HIKVISION-视频监控"

Nx04 漏洞复现

漏洞点位于/SDK/webLanguage 利用PUT方法上传xml数据:

PUT /SDK/webLanguage HTTP/1.1
Host: {
  {Hostname}}
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101
了解本专栏 已下架不支持订阅
晚风不及你ღ
关注
专栏目录

已下架不支持订阅

漏洞复现Hikvision摄像头产品越权漏洞(CVE-2017-7921)
晚风不及你
01-20 2657
Hikvision海康威视)是一家在中国颇具影响力的安防公司,其网络摄像头产品在市场上占据了相当大的份额。Hikvision的网络摄像头产品线非常丰富,涵盖了各种型号和功能,以满足不同用户的需求。
海康威视CVE-2017-7921漏洞查找与利用
AngrySnack的博客
10-11 3417
海康威视 CVE-2017-7921 漏洞
漏洞复现】网络摄像头——弱口令
LongL_GuYu的博客
07-08 3525
诸多主流摄像头存在弱口令
2025年最新CVE-2017-7921漏洞复现
最新发布
2303_78851087的博客
03-26 1183
2025年最新CVE-2017-7921漏洞复现
海康威视IP摄像机/NVR设备固件远程代码执行漏洞(CVE-2021-36260)
菜鸟学渗透
10-08 3362
海康威视IP摄像机/NVR设备固件远程代码执行漏洞(CVE-2021-36260)
海康威视(Hikvision) 摄像头-CVE-2017-7921漏洞复现
m0_49025459的博客
07-04 8706
许多HikvisionIP摄像机包含一个后门,允许未经身份验证的模拟任何配置的用户帐户。
海康摄像头CVE-2021-36260漏洞复现
热门推荐
剁椒鱼头没剁椒的博客
01-06 3万+
攻击者利用该漏洞可以用无限制的 root shell 来完全控制设备,即使设备的所有者受限于有限的受保护 shell(psh)。除了入侵 IP 摄像头外,还可以访问和攻击内部网络。该漏洞的利用并不需要用户交互,攻击者只需要访问 http 或 HTTPS 服务器端口(80/443)即可利用该漏洞,无需用户名、密码、以及其他操作。摄像头本身也不会检测到任何登录信息。
HIKVISION海康威视代码执行漏洞复现(CVE-2021-36260)
红队是青春
01-27 7431
CVE-2021-36260海康威视代码执行漏洞复现
CVE-2017-7921 海康威视(Hikvision) 摄像头漏洞复现
菜鸟学渗透
05-22 1万+
这是一个海康威视摄像头后台管理未授权漏洞,通过构造URL可绕过登录查看监控,检索所有用户和配置文件下载,并获取到监控后台管理账号和密码。
海康威视 CVE-2017-7921 漏洞复现
q857857ytt的博客
11-30 1458
直接在输入框里搜:HiKvision Digital Technology Co该api接口可以未授权访问,获取监控的快照 (打码了,啥都看不到是正常的)下载摄像头配置账号密码文件访问该路由之后浏览器会自动下载一个名为configurationFile的文件,如下4.从网上下载解密二进制文件直接download下载、解压将 configurationFile 文件替换成刚刚下载的运行命令账号和密码就解密出来了让你下载插件,这里用360或者搜狗浏览器开兼容模式就可以访问。
海康威视越权访问CVE-2021-7921漏洞复现
归零者的博客
10-31 1万+
海康威视越权访问CVE-2021-7921漏洞复现
HiKVISION 综合安防管理平台 env信息泄漏漏洞,2024年最新网络安全源码剖析之Framwork层消息传递
2301_76225520的博客
04-13 1042
Hikvision是一家在中国颇具影响力的安防公司,其网络摄像头产品在市场上占据了相当大的份额。综合安防管理平台基于“统一软件技术架构”理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。
海康威视__RCE漏洞_CVE-2023-6895 漏洞复现
m0_64366018的博客
01-13 1682
2.复现过程 2.1页面展示 ******************************************************************************************喜欢就点点收藏和关注,如何多人喜欢的话,我尽量日更最新漏洞复现!!******************************************************************************************
海康威视综合安防管理平台 detection 前台RCE漏洞复现
0xSec
07-22 5682
海康威视综合安防管理平台 /center/api/installation/detection 接口处存在远程命令执行漏洞,未经身份验证的远程攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
探索安全边界:Hikvision摄像机远程命令注入漏洞利用工具深度解析
gitblog_00070的博客
05-29 885
探索安全边界:Hikvision摄像机远程命令注入漏洞利用工具深度解析 去发现同类优质开源项目:https://gitcode.com/ 项目简介 随着网络摄像头在监控领域的广泛应用,其安全性成为不可忽视的重要环节。CVE-2021-36260是一个针对特定型号Hikvision网络摄像机的命令注入漏洞示例。本开源项目由bashis贡献,提供了PoC代码,演示了如何通过未充分验证的输入,在指定版本...
cve-2021-36260
09-17
CVE-2021-36260是一项关于软件漏洞的标识符,它用于唯一识别和记录这个特定的漏洞。这个漏洞可能存在于某个软件的版本中,并且可能会导致安全性问题。具体来说,CVE-2021-36260是一个针对某个软件的特定漏洞的命名。 由于题目中并没有提到具体的软件名称或细节,我们无法提供关于CVE-2021-36260的详细信息。通常情况下,CVE编号会有一个详细的说明,其中包含有关漏洞的信息、可能受到影响的软件版本以及修复该漏洞的建议措施。 如果你有关于CVE-2021-36260的更多详细信息,例如涉及的软件名称、版本号或漏洞的描述,我们将能够提供更加具体的回答。同时,对于任何软件漏洞,建议用户始终保持软件的更新,并遵循厂商发布的安全建议,确保系统的安全性和稳定性。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值