【漏洞复现】大华-智能物联综合管理平台-readpic-任意文件读取漏洞

最新推荐文章于 2024-06-16 19:43:17 发布
最新推荐文章于 2024-06-16 19:43:17 发布
阅读量79 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44905116/article/details/135970236
版权

目录

免责声明

0x01 产品简介 

0x02 漏洞概述

0x03 网络测绘

0x04 漏洞复现

0x05 Nuclei

免责声明

此内容仅供技术交流与学习,请勿用于未经授权的场景。请遵循相关法律与道德规范。任何因使用本文所述技术而引发的法律责任,与本文作者及发布平台无关。如有内容争议或侵权,请及时私信我们!

0x01 产品简介 

        浙江大华技术股份有限公司智能物联综合管理平台是一款基于物联网技术的综合性管理平台,旨在为企业和用户提供智能化、便捷化的物联网解决方案。该平台整合了大华技术在视频监控、数据采集、数据分析等方面的核心技术,实现了对各类物联网设备的统一管理和控制,提高了企业的运营效率和管理水平。

0x02 漏洞概述

        智能物联综合管理平台 readPic 接口存在一个任意文件读取漏洞,攻击者可以通过构造精心设计的请求,成功利用漏洞读取服务器上的任意文件,包括敏感系统文件和应用程序配置文件等。通过利用此漏洞,攻击者可能获得系统内的敏感信息,导致潜在的信息泄露风险。

0x03 网络测绘


                

        

        

    




        

            

                

                

                了解本专栏
                
                
                  
                订阅专栏 解锁全文
                 
                
                    
                    超级会员免费看
                
            

            
            
            
        

    

      

        

            

              
                
                  .Rain.
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
                
  • 
                  
                    打赏
                    
                  
                  
    打赏
    
                
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          

                

                        订阅专栏
                










                



	

		

			

				
					
漏洞复现大华-智能物联综合管理平台-log4j-is-exist

				
			

			

				

					知黑而守白
				

				

					05-05
					
					242
					
				

			

		

		

			
				
浙江大华技术股份有限公司智能物联综合管理平台是一款基于物联网技术的综合管理平台,旨在为企业和用户提供智能化、便捷化的物联网解决方案。该平台整合了大华技术在视频监控、数据采集、数据分析等方面的核心技术,实现了对各类物联网设备的统一管理和控制,提高了企业的运营效率和管理水平。智能物联综合管理平台 is-exist 接口处存在远命令执行漏洞,使得攻击者可以通过构造特定的请求远程执行恶意代码。此漏洞可能导致攻击者获取系统权限、执行任意命令,严重威胁系统的机密性和完整性。

			
		

	



                

              
                



	

		

			

				
					
漏洞复现大华-智能物联综合管理平台-默认口令-token

				
			

			

				

					知黑而守白
				

				

					05-24
					
					155
					
				

			

		

		

			
				
浙江大华技术股份有限公司智能物联综合管理平台是一款基于物联网技术的综合管理平台,旨在为企业和用户提供智能化、便捷化的物联网解决方案。该平台整合了大华技术在视频监控、数据采集、数据分析等方面的核心技术,实现了对各类物联网设备的统一管理和控制,提高了企业的运营效率和管理水平。智能物联综合管理平台存在默认密码漏洞,通过默认用户名密码可以访问后台。

			
		

	



                


  
              

                


	

		

			

				
					
漏洞复现大华-智能物联综合管理平台-page-信息泄露

				
			

			

				

					知黑而守白
				

				

					02-01
					
					220
					
				

			

		

		

			
				
浙江大华技术股份有限公司智能物联综合管理平台是一款基于物联网技术的综合管理平台,旨在为企业和用户提供智能化、便捷化的物联网解决方案。该平台整合了大华技术在视频监控、数据采集、数据分析等方面的核心技术,实现了对各类物联网设备的统一管理和控制,提高了企业的运营效率和管理水平。智能物联综合管理平台 page 接口处存在信息泄漏。攻击者可通过构造特定的数据包可以获取系统敏感信息。

			
		

	





	

		

			

				
					
漏洞复现大华-智能物联综合管理平台-random-远程命令执行

				
			

			

				

					知黑而守白
				

				

					02-01
					
					424
					
				

			

		

		

			
				
浙江大华技术股份有限公司智能物联综合管理平台是一款基于物联网技术的综合管理平台,旨在为企业和用户提供智能化、便捷化的物联网解决方案。该平台整合了大华技术在视频监控、数据采集、数据分析等方面的核心技术,实现了对各类物联网设备的统一管理和控制,提高了企业的运营效率和管理水平。智能物联综合管理平台 random 接口处存在远命令执行漏洞,使得攻击者可以通过构造特定的请求远程执行恶意代码。此漏洞可能导致攻击者获取系统权限、执行任意命令,严重威胁系统的机密性和完整性。

			
		

	



		

			
		



	

		

			

				
					
0day 大华-智能物联综合管理平台info信息泄露

				
			

			

				

					weixin_43167326的博客
				

				

					05-15
					
					707
					
				

			

		

		

			
				
信息泄露漏洞是指在软件系统中,由于安全控制不当导致敏感信息无意中暴露给不应具有访问权限的用户的情况。这类漏洞允许攻击者获取可能用于进一步攻击的关键信息,例如系统细节、用户数据、敏感配置信息等。信息泄露可以是直接的,如通过漏洞直接访问到敏感数据;也可以是间接的,如通过分析错误信息、系统行为等间接推断出敏感信息。

			
		

	





	

		

			

				
					
漏洞复现大华智能物联ICC综合管理平台弱口令漏洞

				
			

			

				

					晚风不及你
				

				

					02-23
					
					883
					
				

			

		

		

			
				
大华智能物联ICC综合管理平台是一个集成了多种智能物联应用服务能力的平台。该平台提供了一系列的基础能力,如中台基础能力、各智能物联应用服务能力以及周边生态支持。

			
		

	





	

		

			

				
					
漏洞复现大华智能物联ICC综合管理平台文件读取漏洞

				
			

			

				

					晚风不及你
				

				

					02-23
					
					1195
					
				

			

		

		

			
				
大华智能物联ICC综合管理平台是一个集成了多种智能物联应用服务能力的平台。该平台提供了一系列的基础能力,如中台基础能力、各智能物联应用服务能力以及周边生态支持。

			
		

	





	

		

			

				
					
漏洞复现大华智能物联综合管理平台 fastjson远程代码执行漏洞

				
			

			

				

					siu~
				

				

					05-29
					
					902
					
				

			

		

		

			
				
由于大华智能物联综合管理平台使用了存在漏洞的Fastson组件,未经身份验让的攻击者可利用 /ev0-uns/v1.0/auths/sysusers/random接口发送恶意的序列化数据执行任意指令,造成代码执行。

			
		

	





	

		

			

				
					
漏洞复现大华-智能物联综合管理平台-token-默认口令

				
			

			

				

					知黑而守白
				

				

					02-01
					
					135
					
				

			

		

		

			
				
浙江大华技术股份有限公司智能物联综合管理平台是一款基于物联网技术的综合管理平台,旨在为企业和用户提供智能化、便捷化的物联网解决方案。该平台整合了大华技术在视频监控、数据采集、数据分析等方面的核心技术,实现了对各类物联网设备的统一管理和控制,提高了企业的运营效率和管理水平。智能物联综合管理平台存在默认密码漏洞,通过默认用户名密码可以访问后台。

			
		

	





	

		

			

				
					
大华智能物联综合管理平台使用说明书

				
			

			

				

					05-11
				

			

		

		

			
				
iConnection Center智能物联/园区综合管理平台(以下简称为管理平台),是一套基于综合业务 管理平台软件,通过融合大华在安防和智能化领域的专业经验和前沿技术,集成视频、门禁、报 警、停车场、考勤、访客、可视...

			
		

	





	

		

			

				
					
DH-DSS-H8900智慧园区综合管理平台

				
			

			

				

					03-01
				

			

		

		

			
				
DH-DSS-H8900 系列是为通用性公共建筑物提供安全和高效管理而打造的智慧园区综合管理平台,通过融合大华在安防和智能化领域的专业经验和前沿技术,集成视频,门禁、报警,停车场,考 勤,访客,可视对讲,信息发布等...

			
		

	





	

		

			

				
					
【推荐】大华-智能小区综合解决方案

				
			

			

				

					05-26
				

			

		

		

			
				
word文件,116页,智能小区综合解决方案,精品一级

			
		

	





	

		

			

				
					
推荐大华“智慧消防”-物联综合管理解决方案.pptx

				
			

			

				

					11-21
				

			

		

		

			
				
推荐大华“智慧消防”-物联综合管理解决方案.pptx

			
		

	





	

		

			

				
					
大华7016S2-DSS视频综合应用平台http接口.doc

				
			

			

				

					08-05
				

			

		

		

			
				
通过http传输数据 大华DSS视频http接口 通过http传输数据 大华DSS视频http接口 通过http传输数据 大华DSS视频http接口 通过http传输数据 大华DSS视频http接口 通过http传输数据 大华DSS视频http接口

			
		

	





	

		

			

				
					
【网络安全的神秘世界】AppScan安装及使用指南

					
最新发布

				
			

			

				

					weixin_54750312的博客
				

				

					06-16
					
					288
					
				

			

		

		

			
				
动态的web扫描,爬取目标网站的接口、链接,通过扫描器自身的扫描逻辑去发送一些特定的http请求数据包,根据服务端的返回内容来判断存在哪些漏洞。AppScan是一种综合漏洞扫描工具,采用SaaS解决方案,它将所以测试功能整合到一个服务中,避免了因操作系统不同带来的安装问题。ASoC使用安装在应用程序上的代理,通过监控所有的交互流量,在应用程序运行期间识别安全漏洞。checkmark:非编译扫描,代码是什么样它就什么样。fortify:编译扫描,需要一定的环境依赖。动态分析(DAST)——黑盒扫描。

			
		

	





	

		

			

				
					
网络安全管理组织架构复习

				
			

			

				

					LongL_GuYu的博客
				

				

					06-12
					
					464
					
				

			

		

		

			
				
网络安全管理组织架构复习

			
		

	





	

		

			

				
					
【等保资料】等级保护定级指南及网络安全解读(ppt原件)

				
			

			

				

					xx_123321456的博客
				

				

					06-14
					
					279
					
				

			

		

		

			
				
新版网络安全等级保护定级指南网络安全等级保护工作的作用对象,主要包括基础信息网络、工业控制系统、云计算平台物联网、使用移动互联技术的网络和大数据等。

			
		

	





	

		

			

				
					
【网络安全】【深度学习】【入侵检测】SDN模拟网络入侵攻击并检测,实时检测,深度学习【一】

				
			

			

				

					q742971636的博客
				

				

					06-09
					
					1464
					
				

			

		

		

			
				
Mininet: 主要用于创建和模拟虚拟网络拓扑,适合于网络实验和研究。Ryu: 主要用于开发和运行 SDN 控制器,用于管理和控制网络设备。这两个工具通常可以结合使用:使用 Mininet 模拟网络环境,使用 Ryu 作为 SDN 控制器来管理模拟网络中的设备和流量。

			
		

	





	

		

			

				
					
大华智慧园区综合管理平台rce

				
			

			

				

					08-17
				

			

		

		

			
				
大华智慧园区综合管理平台(RCE)是一种基于大数据和人工智能技术的智慧园区管理解决方案。该平台集成了多个子系统,包括智能安防、能源管理、楼宇自动化、智慧交通等,旨在提供全面的园区管理和优化,促进园区的可持续发展。

RCE平台通过监测和收集园区各个系统的数据,实现了全面的实时监控和管理。例如,通过智能安防子系统,可以对园区内的视频监控和入侵报警进行集中管理和分析,及时发现和应对安全事件。能源管理子系统可以帮助园区实现能源使用的监测和调控,提高能源利用效率,减少能源浪费。楼宇自动化子系统可以实现对园区内各个建筑物的智能控制和设备管理,提高建筑物的舒适度和能源效率。智慧交通子系统则可以优化园区的交通流动性,减少交通堵塞和碰撞事故。

RCE平台还具有数据分析和预测功能,利用大数据和人工智能技术,对园区内各个子系统的数据进行分析和挖掘,提供决策支持和优化方案。例如,可以通过数据分析预测出园区能源的高峰和低谷,从而合理调控能源供应。还可以通过交通数据分析,优化园区的道路规划和交通流量,提高交通效率和安全性。

综上所述,大华智慧园区综合管理平台(RCE)通过集成不同子系统和应用,实现了园区的全面管理和优化,提高了园区的安全性、舒适度和效率。它是未来智慧城市建设的重要组成部分,也是推动城市可持续发展的重要工具。

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
.Rain.

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值