海康威视综合安防管理平台 多处 FastJson反序列化RCE漏洞复现

已于 2024-06-07 15:07:08 修改
阅读量1.9k 收藏
点赞数 4
分类专栏: 漏洞复现 文章标签: 安全 web安全
于 2024-06-07 15:06:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/139527100
版权
本文介绍了海康威视综合安防管理平台因使用低版本FastJson存在的未授权远程代码执行漏洞,详细阐述了漏洞概述、复现环境及多种复现方法,并给出了修复建议,包括限制接口访问和升级FastJson到安全版本。
摘要由CSDN通过智能技术生成

0x01 产品简介

海康威视综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备。海康威视集成化综合管理软件平台,可以对接入的视频监控点集中管理,实现统一部署、统一配置、统一管理和统一调度。

0x02 漏洞概述

由于海康威视综合安防管理平台使用了低版本的fastjson,攻击者可在未鉴权情况下获取服务器权限,且由于存在相关依赖,即使服务器不出网无法远程加载恶意类也可通过本地链直接命令执行,从而获取服务器权限。

0x03 复现环境

FOFA:app="HIKVISION-iSecure-Center"

0x04 漏洞复现

Exp-1

POST /bic/ssoService/v1/keepAlive HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel
了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
订阅专栏
漏洞复现】Hikvision综合安防管理平台config信息泄露漏洞
晚风不及你
01-21 2306
Hikvision(海康威视)是一家在中国颇具影响力的安防公司,其网络摄像头产品在市场上占据了相当大的份额。综合安防管理平台基于“统一软件技术架构”理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。
海康威视综合安防管理平台 detection 前台RCE漏洞复现
0xSec
07-22 4737
海康威视综合安防管理平台 /center/api/installation/detection 接口处存在远程命令执行漏洞,未经身份验证的远程攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
海康综合安防管理平台远程命令执行漏洞(CNVD-2024-18673)复现
fly夏天的博客
06-19 1639
海康综合安防管理平台远程命令执行漏洞(CNVD-2024-18673)复现
漏洞复现】Hikvision综合安防管理平台Fastjson命令执行漏洞
晚风不及你
01-23 1180
Hikvision(海康威视)是一家在中国颇具影响力的安防公司,其网络摄像头产品在市场上占据了相当大的份额。综合安防管理平台基于“统一软件技术架构”理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。
海康威视运行管理中心 Fastjson RCE
Keepb1ue的博客
12-21 3175
海康威视运行管理中心系统存在低版本Fastjson远程命令执行漏洞,攻击者可在未鉴权情况下获取服务器权限,且由于存在相关依赖,即使服务器不出网无法远程加载恶意类也可通过本地利用链直接命令执行,从而获取服务器权限。
海康威视iSecure-Center 综合安防管理平台 applyAutoLoginTicket/keepAlive/applyCT 远程命令执行漏洞
WuYSec的博客
06-12 938
海康威视iSecure Center综合安防管理平台是一套集成化、智能化的安防管理系统。海康威视iSecure Center综合安防管理平台存在远程命令执行漏洞,可造成远程命令执行。
海康威视iSecure Center 综合安防管理平台detection接口存在远程命令执行漏洞
xiaokp7的博客
07-24 745
HIKVISION iSecure Center综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备,获取边缘节点数据,实现安防信息化集成与联动,以电子地图为载体,融合各系统能力实现丰富的智能应用。HIKVISION iSecure Center平台基于“统一软件技术架构”先进理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、统一配置、统一管理和统一调度。
【1day】复现海康综合安防管理平台 applyCT Fastjson远程命令执行漏洞
记录并分享学习安全的知识点..
07-24 723
海康威视综合安防管理平台,可以对接入的视频监控点集中管理,实现统一部署、统一配置、统一管理和统一调度,海康综合安防管理平台 applyCT 存在低版本Fastjson远程命令执行漏洞,攻击者通过漏洞可以执行任意命令获取服务器权限。
海康威视综合安防管理平台部署手册
09-13
海康威视作为全球领先的安防解决方案提供商,其综合安防管理平台是企业级客户进行安全监控、报警管理、视频存储及分析的重要工具。本部署手册旨在为用户详细阐述如何有效地安装、配置以及管理这一系统,确保用户能够...
漏洞复现海康威视综合安防管理平台Fastjson远程命令执行漏洞复现
做自己喜欢的事,并将其发挥到极致!
04-28 8787
综合安防管理平台基于 统一软件技术架构 理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、配置、管理和调度。海康威视综合安防管理平台存在Fastjson远程命令执行漏洞,该漏洞可执行系统命令,可获取到目标服务器系统权限以及敏感数据信息。
【攻防演练】【含poc和修复建议】海康威视综合安防管理平台 远程命令执行漏洞
最新发布
zzxx191z的博客
07-27 1018
使用防护类设备进行防护,限制访问/center/api/installation/detection 路径,拦截请求中出现的恶意命令注入。
海康威视综合安防管理平台 orgManage/v1/orgs/download 任意文件读取漏洞复现
0xSec
05-31 1214
海康威视综合安防管理平台 orgManage/v1/orgs/download 接口处存在任意文件读取漏洞,未经身份验证的远程攻击者可利用目录遍历的方式绕过权限认证直接读取后台服务器配置文件等敏感文件,造成信息泄露,使系统处于极不安全的状态。
漏洞复现】Hikvision摄像头产品代码执行漏洞(CVE-2021-36260)
晚风不及你
01-20 3936
Hikvision(海康威视)是一家在中国颇具影响力的安防公司,其网络摄像头产品在市场上占据了相当大的份额。Hikvision的网络摄像头产品线非常丰富,涵盖了各种型号和功能,以满足不同用户的需求。
漏洞复现海康威视 综合安防管理平台 session接口 远程代码执行漏洞
凝聚力安全团队
06-19 1855
海康综合安防管理平台 session 接口存在 fastjson 反序列化漏洞。攻击者可在未鉴权的情况下,对目标服务器进行远程命令执行,从而获取服务器权限。综合安防管理平台基于“统一软件技术架构”理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、配置、管理和调度。
漏洞复现】Hikvision综合安防管理平台env信息泄漏漏洞
晚风不及你
01-21 2010
Hikvision(海康威视)是一家在中国颇具影响力的安防公司,其网络摄像头产品在市场上占据了相当大的份额。综合安防管理平台基于“统一软件技术架构”理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。
fastjson反序列化漏洞复现
weixin_58954236的博客
09-11 1304
FastJson是Alibaba的一款开源Json解析库,可用于将Java对象转换为其Json表示形式,也可以用于将Json字符串转换为等效的Java对象。近几年来FastJson漏洞层出不穷。RCE漏洞的源头:17年FastJson爆出的1.2.24反序列化漏洞。​ 关于FastJson1.2.24反序列化漏洞,简单来说,就是FastJson通过parseObject/parse将传入的字符串反序列化为Java对象时由于没有进行合理检查而导致的。
某购物商城系统commodtiy接口处存在任意文件上传漏洞
weixin_43167326的博客
05-10 839
某购物商城系统commodtiy接口处存在任意文件上传漏洞,恶意攻击者可以上传恶意软件,例如后门、木马或勒索软件,以获取对服务器的远程访问权限或者破坏系统,对服务器造成极大的安全隐患。
部署海康威视综合安防管理平台 isecure center
09-29
海康威视综合安防管理平台 iSecure Center 是一款全面且高效的安防管理系统,用于监控和管理各类安全设备,为用户提供集中化的安全管理和控制。部署 iSecure Center 可以带来以下几个方面的好处。 首先,部署 iSecure Center 可以实现全面的设备监控和管理。它能够集成并管理各类安防设备,如摄像头、门禁系统、报警器等,通过统一的平台展示监控画面、事件记录和报警信息,提供全面的安全监控和管理功能。 其次,iSecure Center 提供灵活的安防联动和智能化分析功能。用户可以自定义联动规则,例如当某个区域出现异常时,系统可以自动触发报警并进行相应的处理措施。此外,iSecure Center 还能通过智能化的分析算法,检测和识别异常行为,帮助用户迅速识别风险,提高安全防范效果。 另外,iSecure Center 提供了便捷的远程访问和管理功能。通过简单的网络连接,用户可以随时随地通过手机、电脑等设备,远程访问和管理安全设备。这使得监控和管理变得更加便捷,用户可以随时了解情况、做出决策和采取行动。 最后,iSecure Center 还具备强大的数据存储和管理能力。它可以对监控数据进行长期存储,并提供灵活的检索和查询功能,方便用户查看历史记录和进行数据分析。此外,iSecure Center 还支持多用户同时访问和管理,满足多部门协作的需求。 总的来说,部署海康威视综合安防管理平台 iSecure Center 可以提升安全管理的全面性和效率,帮助用户实时监控、联动响应、智能分析和数据管理,从而保障人员和财产的安全
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值