【NUUO 摄像头】(弱口令登录漏洞)

追风少年155

于 2025-03-26 00:34:18 发布

阅读量383

点赞数 7

分类专栏：漏洞发现文章标签：弱口令登录

本文链接：https://blog.csdn.net/qq_65379983/article/details/146515751

版权

漏洞发现专栏收录该内容

3 篇文章

订阅专栏

漏洞简介：NUUO 是NUUO公司的一款小型网络硬盘录像机设备。 NUUO NVRMini2 3.0.8及之前版本中存在后门调试文件。远程攻击者可通过向后门文件handle_site_config.php发送特定的请求利用该漏洞执行任意命令。

1.Fofa搜索语句：

在Fofa网站，搜索：body="www.nuuo.com/eHelpdesk.php"

2.挨个查找有无漏洞

NUUO 摄像头handle_site_config.php远程命令执行漏洞没找到，但找到弱口令登录

尝试发现弱密码登录漏洞：

输入用户名+弱密码：admin:admin

发现可进入摄像头设置界面。

另一个也是相同的弱口令登录漏洞

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

追风少年155

关注关注

7
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

NUUO摄像机远程命令执行漏洞复现（附脚本）(CVE-2025-1338)

iSee857的博客

02-19

796

该漏洞存在于服务器端脚本文件/handle_config.php的print_file功能模块中，具体由未经验证的log参数引发命令注入风险。攻击者通过构造恶意HTTP请求，在log参数中注入操作系统命令（如"; cat /etc/passwd"或"| rm -rf /"等特殊字符组合），当后端使用system()、exec()等危险函数处理该参数时，可导致注入的命令被服务器执行。由于未实施有效的输入过滤和参数化处理机制，攻击者无需身份认证即可远程发起攻击，实现任意命令执行、敏感文件读取、系统权限提升等恶意

【漏洞复现】NUUO摄像头存在远程命令执行漏洞

失心少年

11-17

821

技术文章仅供参考，任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得利用网络从事危害国家安全、荣誉和利益，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他！NUUO摄像头是中国台湾NUUO公司旗下的一款网络视频记录器，该设备存在远程命令执行漏洞，攻击者可利用该漏洞执行任意命令，进而获取服务器的权限。漏洞链接：http://127.0.0.1/

参与评论您还未登录，请先登录后发表或查看评论

你们家的摄像头安全吗？如何管理海量弱密码

南国飞鹰的博客

12-12

1635

你们家的摄像头安全吗？ ****—弱口令摄像头的容易被入侵******立统科技SECVISION帮您破解管理弱密码的难题** 弱口令密码是什么？ 弱口令密码即是简单好记的密码，比如：123/abc /admin/ 123456/888888 /111111 等等这些称为弱口令。比如在渗透网站中出现的弱口令甚为广泛。基本上一些小型网站最易出现弱口令漏洞。 弱口令密码会带来哪些后果 弱口令密码有一套字典，会自动爆破你的密码，易破解后被入侵，被直播，个人隐私受到威胁。本文将演示监控摄像头是如何通过软件方式

批量扫描弱口令检查工具

11-19

弱口令批量扫描工具是一款支持批量多线程检查，可快速发现弱密码、弱口令账号，密码支持和用户名结合进行检查，大大提高成功率，支持自定义服务端口和字典。可进行单IP或域名，也可进行段扫描。

【漏洞复现】网络摄像头——弱口令

LongL_GuYu的博客

07-08

3308

诸多主流摄像头存在弱口令

各大厂商常用的弱口令集合

Libra1313的博客

02-12

2917

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。

NUUO网络摄像头(NVR)RCE漏洞复现

The current road is different, love needs to distinguish between right and wrong

11-03

990

NUUO Network Video Recorder（NVR）是中国台湾NUUO公司的一款网络视频记录器。NUUO NVR视频存储管理设备的__debugging_center_utils___.php文件存在未授权远程命令执行漏洞，攻击者可在没有任何权限的情况下通过log参数执行任意命令。没有人规定，一朵花一定要成长为向日葵或者玫瑰。

NUUO摄像头远程命令执行漏洞复现 [附POC]

薛定谔嘚喵博客

10-26

869

NUUO Network Video Recorder（NVR）是中国台湾NUUO公司的一款网络视频记录器。NUUO NVR视频存储管理设备__debugging_center_utils___.php存在未授权远程命令执行漏洞，攻击者可在没有任何权限的情况下通过log参数执行任意PHP代码，从而入侵服务器，获取服务器的管理员权限。

【漏洞复现】NUUO摄像头远程命令执行漏洞

m0_46381222的博客

10-30

776

【漏洞复现】NUUO摄像头远程命令执行漏洞

NUUO摄像头 upload.php 任意文件上传漏洞复现

iSee857的博客

10-30

821

NUUO摄像头‌是由中国台湾NUUO公司生产的一款网络视频录像机（Network Video Recorder，简称NVR），广泛应用于零售、交通、教育、政府和银行等多个领域。它能够同时管理多个IP摄像头，实现视频录制、存储、回放及远程监控等功能，采用先进的视频处理技术，提供高清、流畅的视频画面，满足各种复杂环境下的监控需求‌。NUUO NVR摄像头在upload.php接口处存在任意文件上传，攻击者可通过该漏洞在上传任意文件至服务器上从而实现远程接管。厂商已发布补丁请即时修复。拼接上传文件进行访问。

NUUO 摄像头handle_site_config.php远程命令执行漏洞附POC

最新发布

nnn2188185的博客

02-25

微信公众号搜索：南风漏洞复现文库该文章南风漏洞复现文库公众号首发NUUO 摄像头。

FTP弱口令探测工具

12-24

简单实现FTP弱口令探测工具，大家下载后正当使用，任何使用用途与本人无关！

弱口令扫描（稳定版）

07-28

一个很好的东西，已修复bug，性能较稳定

NUUO 网络摄像头命令执行漏洞

weixin_45971758的博客

02-06

2006

NUUO是中国台湾省NUUO公司旗下的一款网络视频记录器，该设备存在远程命令执行漏洞，攻击者可利用该漏洞执行任意命令，进而获取服务器的权限。网络视频记录器的CPU为Marvell Kirkwood 88F6281，CPU架构为基于ARMv5架构。该系统中有busybox，一个精简的环境，包含了许多最常用的UNIX命令和工具，如ls、cp、mv、grep、find、awk、sed等。无法执行复杂的任务和其他架构的程序。

Goby漏洞更新 | NUUO NVR 摄像机 __debugging_center_utils___.php 命令执行漏洞(CVE-2016-5674)

m0_46699477的博客

04-07

576

(CVE-2016-5674) NUUO Network Video Recorder（NVR）是中国台湾NUUO公司的一款网络视频记录器。NUUO NVR视频存储管理设备__debugging_center_utils___.php存在未授权远程命令执行漏洞，攻击者可在没有任何权限的情况下通过log参数执行任意PHP代码，从而入侵服务器，获取服务器的管理员权限。

NUUO摄像头 debugging_center_utils 远程命令执行漏洞复现

iSee857的博客

10-30

382

‌是由中国台湾NUUO公司生产的一款网络视频录像机（Network Video Recorder，简称NVR），广泛应用于零售、交通、教育、政府和银行等多个领域。它能够同时管理多个IP摄像头，实现视频录制、存储、回放及远程监控等功能，采用先进的视频处理技术，提供高清、流畅的视频画面，满足各种复杂环境下的监控需求‌。NUUO NVR摄像头在debugging_center_utils接口处存在远程命令执行，攻击者可通过该漏洞在服务器上执行任意命令，获取服务器权限。厂商已发布补丁请即时修复。

NUUO智能监控解决方案 8.7.3 Crack

控件与插件之大全

07-04

219

NUUO智能监控解决方案:从闭路电视到 IP 摄像机、从基于 PC 的服务器到嵌入式 Linux 的服务器、从小规模到大规模安装，NUUO 的全系列产品 Crystal™ 系列和 MainConsole 系列提供了全面的解决方案

RTSP默认口令/弱口令漏洞