【漏洞复现】大华DSS数字监控系统getAttList SQL注入漏洞

已于 2024-03-05 09:18:44 修改
阅读量552 收藏 9
点赞数 12
分类专栏: 【漏洞复现M】 文章标签: 安全 web安全 网络
于 2024-03-05 09:15:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37113223/article/details/136468977
版权

Nx01 产品简介

        大华DSS数字监控系统是一个在通用安防视频监控系统基础上设计开发的系统,除了具有普通安防视频监控系统的实时监视、云台操作、录像回放、报警处理、设备治理等功能外,更注重用户使用的便利性。

Nx02 漏洞描述

        大华DSS数字监控系统attachment_getAttList.action?bean.RecId存在SQL注入漏洞,攻击者可以通过此漏洞获取数据库权限,造成敏感信息泄露。

Nx03 产品主页

fofa-query: app="dahua-DSS"

Nx04 漏洞复现

漏洞POC请查看公众号文章详情:

【漏洞复现】大华DSS数字监控系统getAttList SQL注入漏洞

Nx05 修复建议

建议联系软件厂商进行处理。

晚风不及你ღ
关注
  • 12
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
大华 DSS 数字监控系统 attachment_getAttList.action SQL 注入漏洞复现
0xSec
02-06 1293
大华 DSS存在SQL注入漏洞,攻击者 /portal/attachment_getAttList.action 路由发送特殊构造的数据包,利用报错注入获取数据库敏感信息。攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
漏洞复现大华 DSS 数字监控系统 itcBulletin SQL 注入
失心少年
01-11 404
攻击者除了可以利用 SQL注入漏词获取数据库中的信息例如,管理员后台密码、站点的用户人人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限## 免责声明。技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!
大华DSS平台SDK(客户端demo_win32_win64).zip
06-23
大华DSS平台SDK(客户端demo_win32_win64) 大华DSS视频监控客户端开发的演示 demo。其中包含 实时预览,录像回放与下载,云台控制,报警,语音对讲,ftp 图片,电视墙等 功能模块。
漏洞复现大华DSS数字监控系统 attachment_clearTempFile.action SQL注入漏洞
最新发布
https://blog.echo234.cn/
03-31 487
大华 DSS 数字监控系统大华开发的一款安防视频监控系统,拥有实时监视、云台操作、录像回放、报警处理、设备管理等功能。大华DSS数字监控系统存在SQL注入漏洞,攻击者向 attachment_clearTempFile.action 路由发送特殊构造的数据包,利用报错注入获取数据库敏感信息。攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
XML基本使用
Jesson_study
07-21 368
XML概述 概念 XML全称为Extensible Markup Language,意思是可扩展的标记语言 发明(W3C组织发明) 1998年2月发布1.0版本 2004年2月又发布1.1版本,但因为1.1版本不能向下兼容1.0版本,所以1.1没有人用 2004年2月W3C又发布了1.0版本的第三版 我们要学习的还是1.0版本 作用 配置文件 <?xml vers...
Mybatis源码学习(26)-resultMap元素的使用及解析过程
向心行者
02-18 1194
一、用法   关于结果映射元素<resultMap>的结构及用法,详细可以参考《Mybatis官方文档-结果映射》。下面摘了一些重要概念及其用法,如下:   resultMap 元素是 MyBatis 中最重要最强大的元素。它可以让你从 90% 的 JDBC ResultSets 数据提取代码中解放出来,并在一些情形下允许你进行一些 JDBC 不支持的操作。实际上,在为一些比如连接的复...
大华数字监控系统DSS-M2.1安装手册_V1.0
08-26
大华数字监控系统DSS-M2.1安装手册_V1.0
大华 DSS 数字监控系统 itcBulletin SQL 注入漏洞复现
holyxp的博客
12-18 1602
大华 DSs 数字监控系统大华开发的一款安防视频监控系统,拥有实时监视、云台操作、录像回放、报警处理、设备管理等功能。大华 DSS存在SQL注入漏洞,攻击者 pota/services/itcBuletin 路由发送特殊构造的数据包,利用报错注入获取数据库敏感信息。攻击者除了可以利用 SQL注入漏词获取数据库中的信息例如,管理员后台密码、站点的用户人人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限poc验证是否存在漏洞如果你想查询用户名和密码。
大华 DSS 数字监控系统 attachment_getAttList.actionSQL注入漏洞
weixin_43167326的博客
02-08 451
大华DSS数字监控系统attachment_getAttList接口存在SQL注入漏洞,攻击者可以利用该漏洞获取数据库敏感信息。
复现大华 DSS 数字监控系统 SQL 注入漏洞_18
fushuang333的博客
01-14 1318
复现大华 DSS 数字监控系统 SQL 注入漏洞大华DSS大华的大型监控管理应用平台,支持几乎所有涉及监控等方面的操作,支持多级跨平台联网等操作。
大华 DSS 城市安防数字监控系统 SQL 注入漏洞
Keepb1ue的博客
12-21 1354
大华DSS数字监控系统itcBulletin接口对传入的数据没有预编译和充足的校验,导致该接口存在SQL注入漏洞,可通过注入漏洞获取数据库敏感信息。
大华平台DSS视频监控系统介绍.doc
05-13
大华平台DSS视频监控系统介绍
DSS联网监控系统设计方案.pdf
05-16
DSS联网监控系统设计方案.pdfDSS联网监控系统设计方案.pdfDSS联网监控系统设计方案.pdfDSS联网监控系统设计方案.pdfDSS联网监控系统设计方案.pdf
数字监控系统DSS2.0(安装说明)
08-06
数字监控系统DSS2.0,管理的视频、移动巡查、车辆、重点设施等城管资源数据和现有应用系统,改造和完善现有的城管案件处置流程,将现有城市综合管理的巡查发现、投诉受理、协调督办、检查考评、设施监控、指挥调度等...
漏洞复现大华DSS数字监控系统配置系统后台弱口令漏洞
晚风不及你
03-08 914
大华DSS数字监控系统是一个在通用安防视频监控系统基础上设计开发的系统,除了具有普通安防视频监控系统的实时监视、云台操作、录像回放、报警处理、设备治理等功能外,更注重用户使用的便利性。
封装JNDI操作LDAP服务器的工具类4
weixin_34077371的博客
07-02 205
/** *在当前连接的DirContext修改指定Context下的一个或多个属性 *@paramcontext连接的DirContext *@paramcn指定Context下的名字 *@paramattMap包含Listkey为属性名称,当属性为多值时 *value为包含多值的List,为单值...
漏洞复现大华DSS数字监控系统Struct2-045命令执行漏洞
晚风不及你
03-07 568
大华DSS数字监控系统是一个在通用安防视频监控系统基础上设计开发的系统,除了具有普通安防视频监控系统的实时监视、云台操作、录像回放、报警处理、设备治理等功能外,更注重用户使用的便利性。
Java stream流函数操作
qq_42108887的博客
12-04 381
stream中的常规操作
复现大华 DSS SQL 注入漏洞_46
fushuang333的博客
02-11 1496
复现大华 DSS SQL 注入漏洞,​攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。
大华dss平台sdk
12-25
大华DSS平台SDK是大华公司提供的软件开发工具包,用于帮助开发者快速、高效地进行DSS平台的应用程序开发。该SDK包含了丰富的API和工具,可以帮助开发者实现视频监控、录像回放、远程操作等功能。 通过DSS平台SDK,开发者可以轻松地与大华的视频监控设备进行通信和交互,实现对设备的控制和管理。SDK还提供了丰富的图像处理和分析功能,可以帮助开发者开发出更加智能和高效的视频监控应用程序。 DSS平台SDK支持多种开发语言和平台,包括C/C++、Java、.NET等,可以在不同的操作系统和硬件平台上进行开发。这样就可以满足各种不同需求和环境下的应用开发需求。 另外,大华DSS平台SDK还提供了丰富的开发文档和示例代码,方便开发者学习和使用。开发者可以通过这些文档和示例快速上手,快速完成应用程序的开发和部署。 总之,大华DSS平台SDK是一款功能强大、易于使用的软件开发工具包,可以帮助开发者快速实现视频监控应用程序的开发和部署,提高开发效率,降低开发成本。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值