【漏洞复现】大华-DSS-clientserver-sql注入

最新推荐文章于 2024-06-19 11:24:40 发布
最新推荐文章于 2024-06-19 11:24:40 发布
阅读量322 收藏
点赞数 1
分类专栏: 漏洞复现 文章标签: web安全 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44905116/article/details/135970589
版权
本文档详细介绍了大华DSS clientServer存在的SQL注入漏洞,该漏洞允许攻击者通过构造恶意SQL语句执行数据库操作,可能造成敏感信息泄露或数据篡改。复现过程包括网络测绘和利用工具Nuclei的使用。
摘要由CSDN通过智能技术生成

目录

免责声明

0x01 产品简介 

0x02 漏洞概述

0x03 网络测绘

0x04 漏洞复现

0x05 Nuclei

免责声明

此内容仅供技术交流与学习,请勿用于未经授权的场景。请遵循相关法律与道德规范。任何因使用本文所述技术而引发的法律责任,与本文作者及发布平台无关。如有内容争议或侵权,请及时私信我们!

0x01 产品简介 

       DSS是大华的大型监控管理应用平台,支持几乎所有涉及监控等方面的操作,支持多级跨平台联网等操作。 可将视频监控、卡口拍照、 区间测速 、电子地图、违章查询系统等诸多主流应用整合在一起,实现更加智能、便捷的分级查询服务。

0x02 漏洞概述

        大华DSS clientServer 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作

了解本专栏 订阅专栏 解锁全文 超级会员免费看
.Rain.
关注
专栏目录
订阅专栏
漏洞复现大华-DSS-attachment_downloadByUrlAtt-文件读取
知黑而守白
02-01 128
DSS大华的大型监控管理应用平台,支持几乎所有涉及监控等方面的操作,支持多级跨平台联网等操作。可将视频监控、卡口拍照、 区间测速 、电子地图、违章查询系统等诸多主流应用整合在一起,实现更加智能、便捷的分级查询服务。大华DSS attachment_downloadByUrlAtt 接口存在一个任意文件读取漏洞,攻击者可以通过构造精心设计的请求,成功利用漏洞读取服务器上的任意文件,包括敏感系统文件和应用程序配置文件等。通过利用此漏洞,攻击者可能获得系统内的敏感信息,导致潜在的信息泄露风险。
大华智慧园区综合管理平台 clientServer SQL注入漏洞复现
0xSec
03-13 617
​由于大华智慧园区综合管理平台clientServer接口处未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限。
大华客户端
05-01
大华客户端,用于大华硬盘录像机预览、回放等功能,电脑端
大华客户端DSSClient.zip
12-17
DSSClient.exe监控实时预览,版本号3.11
大华7016平台客户端软件 DSSClient.zip
10-23
大华7016平台客户端软件,摄像头预览,监控回放,下载
DSSClient.exe
07-10
DSSClient.exe监控实时预览,回放,电子地图等,版本号3.11.
漏洞复现大华-城市安防监控系统平台管理-SQL注入-getFaceRecognition
知黑而守白
06-19 102
DSS大华的大型监控管理应用平台,支持几乎所有涉及监控等方面的操作,支持多级跨平台联网等操作。可将视频监控、卡口拍照、 区间测速 、电子地图、违章查询系统等诸多主流应用整合在一起,实现更加智能、便捷的分级查询服务。大华DSS某接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
漏洞复现大华-DSS-user-edit-密码泄露
知黑而守白
02-02 266
DSS大华的大型监控管理应用平台,支持几乎所有涉及监控等方面的操作,支持多级跨平台联网等操作。可将视频监控、卡口拍照、 区间测速 、电子地图、违章查询系统等诸多主流应用整合在一起,实现更加智能、便捷的分级查询服务。大华DSS user_edit 接口处存在信息泄漏。攻击者可通过构造特定的数据包可以获取系统敏感信息。
DH-DSS-H8900智慧园区综合管理平台
03-01
DH-DSS-H8900 系列是为通用性公共建筑物提供安全和高效管理而打造的智慧园区综合管理平台,通过融合大华在安防和智能化领域的专业经验和前沿技术,集成视频,门禁、报警,停车场,考 勤,访客,可视对讲,信息发布等...
漏洞复现大华-城市安防监控系统平台管理-SQL注入-itcBulletin
最新发布
知黑而守白
06-19 222
DSS大华的大型监控管理应用平台,支持几乎所有涉及监控等方面的操作,支持多级跨平台联网等操作。可将视频监控、卡口拍照、 区间测速 、电子地图、违章查询系统等诸多主流应用整合在一起,实现更加智能、便捷的分级查询服务。大华DSS itcBulletin 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
大华DSS系列客户端操作手册.docx
08-10
操作平台
大华电脑客户端
03-12
大华集中管理网路摄像机软件,统一分配与连接。电脑系统
大华dss平台连接摄像头
11-06
这个webdemo可以通过连接大华dss平台来访问摄像头画面,包括云台的控制,画面回放等都可以实现。
大华DSS二次开发(OCX) v1.1.003 2014/9/23
06-11
大华DSS二次开指南(ocx版) v1.1.003 2014/9/23 大华DSS视频监控平台二次开发包
大华综合监控管理平台软件系列
02-11
大华综合监控管理平台软件系列,系统说明文档
(新版)DSSClient.zip
11-26
大华DSS7016综合管理平台客户端软件DSSClient电脑版大华7016流媒体平台客户端软件,摄像头预览,监控回放,下载
关于Notepad++连接重复虚拟机ip的问题描述及解决(server [ssh-rsa,ssh-dss], client [ecdsa-sha2-nistp256] )
qq_40591439的博客
02-23 2496
之前使用Notepad++连接虚拟机,修改虚拟机上的各种文件,比vim命令好用的多。昨天在使用Notepad++连接虚拟机时报了如下: 这个问题产生的原因是:       我在配置虚拟机ip地址时,有两个虚拟机的ip是一样的(这里我使用的都是固定ip),比如我配置的两个虚拟机ip都是192.168.25.128。而之前我使用Notepad++连接过第一个ip为192.168.25.128的...
2013年PCI-DSS 3.0中文版:支付卡行业安全要求概览
PCI-DSS中文版(2013)是针对支付卡行业数据安全的专业标准,由PCI安全标准委员会发布,旨在提升全球范围内持卡人数据的安全性。该标准适用于所有涉及支付卡处理的实体,包括商户、处理机构、收单机构、发卡机构和...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

.Rain.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值