【漏洞复现】大华DSS城市安防监控平台任意文件读取漏洞

已于 2024-03-22 16:45:53 修改
阅读量864 收藏 8
点赞数 8
文章标签: 安全 web安全 网络
于 2024-03-05 09:25:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37113223/article/details/136469262
版权
【漏洞复现】 专栏收录该内容
150 篇文章 1 订阅

已下架不支持订阅

本文介绍了大华DSS数字监控系统存在的任意文件读取漏洞,攻击者能通过该漏洞获取服务器敏感信息。详细复现步骤及修复建议在文中阐述。
摘要由CSDN通过智能技术生成

Nx01 漏洞描述

大华DSS数字监控系统是一个在通用安防视频监控系统基础上设计开发的系统。该平台存在任意文件读取漏洞,攻击者可以通过此漏洞获取服务器上的任意文件,造成敏感信息泄露。

Nx02 搜索语法

Fofa-query: app="dahua-DSS"

Nx03 漏洞详情

1.大华DSS城市安防监控平台。

Nx04 漏洞复现

漏洞POC请查看公众号文章详情:

【漏洞复现】大华DSS城市安防监控平台任意文件读取漏洞

Nx05 修复建议

建议联系软件厂商进行处理。

晚风不及你ღ
关注
专栏目录

已下架不支持订阅

漏洞复现】泛微OA E-Cology ln.FileDownload 任意文件读取漏洞
alert['Hello World']
06-18 749
泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公解决方案。e-cology平台提供了一系列协同办公工具,包括在线办公应用、文档管理、任务管理、日程安排、电子邮件和即时通讯等。泛微OA ln.FileDownload 接口存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器任意文件。。
大华城市安防监控系统平台attachment_downloadByUrlAtt.action存在任意文件读取漏洞 附POC软件
nnn2188185的博客
02-02 124
大华城市安防监控系统平台attachment_downloadByUrlAtt.action存在任意文件读取漏洞 附POC软件
复现大华 DSS 数字监控系统 任意文件读取漏洞_38
fushuang333的博客
02-03 1391
复现大华 DSS 数字监控系统 任意文件读取漏洞,通过提交专门设计的输入,攻击者就可以在被访问的文件系统中读取或写入任意内容。
漏洞复现--大华城市安防系统平台任意文件下载(poc)
qq_53003652的博客
10-07 384
大华城市安防监控系统平台管理存在任意文件下载漏洞,攻击者通过漏洞可以下载服务器上的任意文件。用户密码存放在etc/shadow下,读取etc/shadow。点到为止,拿到密码后可以干什么懂得都懂,这里也是不演示了。成功读取etc/passwd。自行查询厂商发布补丁。
大华城市安防监控系统平台管理存在任意文件下载漏洞
剁椒鱼头没剁椒的博客
02-14 2905
大华城市安防监控系统平台管理存在任意文件下载漏洞,攻击者通过漏洞可以下载服务器上的任意文件。刷新登录页面进行抓包,然后在数据包中添加POC。大华城市安防监控系统平台管理。
漏洞复现大华城市安防监控系统平台管理 attachment_downloadByUrlAtt.action 任意文件下载漏洞
alert['Hello World']
06-21 378
大华城市安防监控系统平台是一款集视频、报警、存储、管理于一体的综合安防解决方案。该平台支持多种接入方式,包括网络视频、模拟视频、数字视频、IP电话、对讲机等。此外,该平台还支持多种报警方式,包括移动侦测、区域入侵、越线报警、人员聚集等。大华城市安防监控系统平台管理存在任意文件下载漏洞,攻击者通过漏洞可以下载服务器上的任意文件
大华 DSS 数字监控系统 user_edit.action 信息泄露漏洞复现
0xSec
05-30 911
大华 DSS 数字监控系统 user_edit.action 接口处存在信息泄露漏洞。未经身份验证的远程攻击者可利用此漏洞读取后台管理员账号密码等信息,破解密码后可直接登录后台,使系统处于极不安全的状态。
大华智慧园区管理平台任意密码读取漏洞 复现
薛定谔嘚喵博客
10-08 334
大华智慧园区综合管理平台是一款综合管理平台,具备园区运营、资源调配和智能服务、摄像监控等功能。平台意在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务,增强使用体验。 大华智慧园区综合管理平台存在任意密码读取漏洞,可以直接读取管理账号名以及其密码Hash值,造成未授权登入访问劫持园区管理平台,危害性高。
大华股份监控存在高危漏洞【附POC】
jijisaq的博客
03-27 1017
同时,它还可以通过采集监控数据、提高管理监督效果,有效震慑违法犯罪行为的发生,并达到有效震慑违法犯罪行为的效果。大华DSS大华的大型监控管理应用平台,支持几乎所有涉及监控等方面的操作,支持多级跨平台联网等操作。由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!今年肯定能“一帆风顺,二龙腾飞,三羊开泰,四季平安,五福临门,六六大顺,七星高照,八方来财,九九同心,十全十美,百事亨通,千事吉祥,万事如意“。
大华科技摄像头产品非授权访问漏洞技术分析与防护方案
02-10
大华科技摄像头产品非授权访问漏洞技术分析与防护方案
Hikvision:海康威视海康威视流媒体管理服务器任意文件读取
03-28
海康威视 海康威视海康威视流媒体管理服务器任意文件读取 #USE python3 CNVD-2021-14544.py ip.txt放置在本脚本目录下
DAHUA大华摄像头HTTP协议API
08-23
HAHUA大华录像机开发用API文档,HTTP协议使用,版本1.0—-
大华智能物联综合管理平台任意文件读取
weixin_43567873的博客
03-07 272
大华智能物联综合管理平台任意文件读取(QVD-2023-45063)
大华DSS数字监控系统 attachment_clearTempFile sql注入漏洞复现(含nuclei-POC)
m0_50797689的博客
03-19 855
大华DSS数字监控系统 attachment_clearTempFile sql注入漏洞复现(含nuclei-POC)
漏洞复现DSS数字监控系统——user_edit.action——敏感信息泄露
最新发布
LongL_GuYu的博客
07-09 854
DSS数字监控系统是在通用的安防视频监控系统的基础上进行设计开发,除 了普通安防视频监控所共有的实时监视、云台操作、录像回放、报警处理、设备管理等功能外,更多地考虑到如何方便用户使用系统的人机工程。其`user_edit.action`存在敏感信息泄露,未授权攻击者能直接获取系统system用户的加密密文,通过解密获取明文密码,从而进入系统,获取web权限。
大华监控DSS存在SQL注入高危漏洞
wan___she__pi的博客
03-27 885
大华DSS大华的大型监控管理应用平台,支持几乎所有涉及监控等方面的操作,支持多级跨平台联网等操作。将视频监控、卡口拍照、 区间测速 、电子地图、违章查询系统等诸多主流应用整合,实现更加智能、便捷的分级查询服务。大华 DSS 数字监控系统 存在File.action SQL注入,黑客可以利用该漏洞执行任意SQL语句,获取敏感信息,造成危害。
漏洞复现大华-城市安防监控系统平台管理-SQL注入-itcBulletin
知黑而守白
06-19 188
DSS大华的大型监控管理应用平台,支持几乎所有涉及监控等方面的操作,支持多级跨平台联网等操作。可将视频监控、卡口拍照、 区间测速 、电子地图、违章查询系统等诸多主流应用整合在一起,实现更加智能、便捷的分级查询服务。大华DSS itcBulletin 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
漏洞复现大华DSS视频管理系统信息泄露漏洞
晚风不及你
02-20 2279
大华DSS数字监控系统是一个在通用安防视频监控系统基础上设计开发的系统,除了具有普通安防视频监控系统的实时监视、云台操作、录像回放、报警处理、设备治理等功能外,更注重用户使用的便利性。
大华DSS视频监控二次开发手册(OCX控件)
"大华DSS二次开发指南(OCX)是浙江大华技术股份有限...通过这份DSS二次开发指南,开发者能够深入了解如何利用大华提供的工具和接口,自定义开发视频监控应用,实现与DSS平台的深度集成,提升监控系统的功能和用户体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值