【漏洞复现】Hikvision海康综合安防管理平台applyAutoLoginTicket接口存在远程命令执行漏洞

最新推荐文章于 2025-03-26 08:09:11 发布
最新推荐文章于 2025-03-26 08:09:11 发布
阅读量464 收藏
点赞数
分类专栏: 网络安全 web安全 渗透测试 漏洞复现 文章标签: 漏洞复现 网络安全 web安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010025272/article/details/140076443
版权

漏洞描述

海康威视其产品包括摄像机、多屏控制器、交通产品、传输产品、存储产品、门禁产品、消防器材等。海康威视是以视频为核心的智能物联网解决方案和大数据服务提供商,业务聚焦于综合安防、大数据服务和智慧业务。公司力图构建开放合作生态,为公共服务领域用户、企事业用户和中小企业用户提供服务。海康威视通过不断发展智能物联技术,助力全球客户打造更安全、更便捷的社会生活环境。同时,我们时刻铭记与社会共享发展的责任,通过创新和协作的方式赋能

HIKVISION iSecure Center综合安防管理平台
海康威视其产品包括摄像机、多屏控制器、交通产品、传输产品、存储产品、门禁产品、消防器材等。海康威视是以视频为核心的智能物联网解决方案和大数据服务提供商,业务聚焦于综合安防、大数据服务和智慧业务。公司力图构建开放合作生态,为公共服务领域用户、企事业用户和中小企业用户提供服务。海康威视通过不断发展智能物联技术,助力全球客户打造更安全、更便捷的社会生活环境。同时,我们时刻铭记与社会共享发展的责任,通过创新和协作的方式赋能

HIKVISION iSecure Center综合安防管理平台
在这里插入图片描述

免责声明

技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文

了解本专栏 订阅专栏 解锁全文 超级会员免费看
海康威视iSecure Center 综合安防管理平台detection接口存在远程命令执行漏洞
xiaokp7的博客
07-24 1482
HIKVISION iSecure Center综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备,获取边缘节点数据,实现安防信息化集成与联动,以电子地图为载体,融合各系统能力实现丰富的智能应用。HIKVISION iSecure Center平台基于“统一软件技术架构”先进理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、统一配置、统一管理和统一调度。
海康威视综合安防管理平台 多处 FastJson反序列化RCE漏洞复现
0xSec
06-07 2442
由于海康威视综合安防管理平台使用了低版本的fastjson,攻击者可在未鉴权情况下获取服务器权限,且由于存在相关依赖,即使服务器不出网无法远程加载恶意类也可通过本地链直接命令执行,从而获取服务器权限。
2025年最新CVE-2017-7921漏洞复现
最新发布
2303_78851087的博客
03-26 871
2025年最新CVE-2017-7921漏洞复现
海康综合安防管理平台远程命令执行漏洞(CNVD-2024-18673)复现
fly夏天的博客
06-19 4710
海康综合安防管理平台远程命令执行漏洞(CNVD-2024-18673)复现
【攻防演练】【含poc和修复建议】海康威视综合安防管理平台 远程命令执行漏洞
zzxx191z的博客
07-27 1308
使用防护类设备进行防护,限制访问/center/api/installation/detection 路径,拦截请求中出现的恶意命令注入。
漏洞复现Hikvision综合安防管理平台config信息泄露漏洞
晚风不及你
01-21 3406
Hikvision海康威视)是一家在中国颇具影响力的安防公司,其网络摄像头产品在市场上占据了相当大的份额。综合安防管理平台基于“统一软件技术架构”理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。
海康威视综合安防管理平台 detection 前台RCE漏洞复现
0xSec
07-22 5614
海康威视综合安防管理平台 /center/api/installation/detection 接口存在远程命令执行漏洞,未经身份验证的远程攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
Hikvision综合安防管理平台applyAutoLoginTicket接口存在远程命令执行漏洞 附POC
nnn2188185的博客
06-21 196
微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发HIKVISION iSecure Center综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备,获取边缘节点数据,实现安防信息化集成与联动,以电子地图为载体,融合各系统能力实现丰富的智能应用。HIKVISION iSecure Center平台基于“统一软件技术架构”先进理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。
海康威视iSecure-Center 综合安防管理平台 applyAutoLoginTicket/keepAlive/applyCT 远程命令执行漏洞
WuYSec的博客
06-12 1369
海康威视iSecure Center综合安防管理平台是一套集成化、智能化的安防管理系统。海康威视iSecure Center综合安防管理平台存在远程命令执行漏洞,可造成远程命令执行
漏洞复现Hikvision综合安防管理平台Fastjson命令执行漏洞
晚风不及你
01-23 1451
Hikvision海康威视)是一家在中国颇具影响力的安防公司,其网络摄像头产品在市场上占据了相当大的份额。综合安防管理平台基于“统一软件技术架构”理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。
海康威视运行管理中心 Fastjson RCE
Keepb1ue的博客
12-21 3687
海康威视运行管理中心系统存在低版本Fastjson远程命令执行漏洞,攻击者可在未鉴权情况下获取服务器权限,且由于存在相关依赖,即使服务器不出网无法远程加载恶意类也可通过本地利用链直接命令执行,从而获取服务器权限。
海康威视综合安防管理平台 orgManage/v1/orgs/download 任意文件读取漏洞复现
0xSec
05-31 1762
海康威视综合安防管理平台 orgManage/v1/orgs/download 接口存在任意文件读取漏洞,未经身份验证的远程攻击者可利用目录遍历的方式绕过权限认证直接读取后台服务器配置文件等敏感文件,造成信息泄露,使系统处于极不安全的状态。
漏洞复现海康威视综合安防管理平台Fastjson远程命令执行漏洞复现
李火火的安全圈
04-28 9195
综合安防管理平台基于 统一软件技术架构 理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、配置、管理和调度。海康威视综合安防管理平台存在Fastjson远程命令执行漏洞,该漏洞可执行系统命令,可获取到目标服务器系统权限以及敏感数据信息。
漏洞复现Hikvision摄像头产品代码执行漏洞(CVE-2021-36260)
晚风不及你
01-20 5854
Hikvision海康威视)是一家在中国颇具影响力的安防公司,其网络摄像头产品在市场上占据了相当大的份额。Hikvision的网络摄像头产品线非常丰富,涵盖了各种型号和功能,以满足不同用户的需求。
漏洞复现Hikvision综合安防管理平台env信息泄漏漏洞
晚风不及你
01-21 3451
Hikvision海康威视)是一家在中国颇具影响力的安防公司,其网络摄像头产品在市场上占据了相当大的份额。综合安防管理平台基于“统一软件技术架构”理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。
fastjson(反序列化)漏洞复现
weixin_58954236的博客
09-11 1459
​ FastJson是Alibaba的一款开源Json解析库,可用于将Java对象转换为其Json表示形式,也可以用于将Json字符串转换为等效的Java对象。近几年来FastJson漏洞层出不穷。RCE漏洞的源头:17年FastJson爆出的1.2.24反序列化漏洞。​ 关于FastJson1.2.24反序列化漏洞,简单来说,就是FastJson通过parseObject/parse将传入的字符串反序列化为Java对象时由于没有进行合理检查而导致的。
海康威视综合安防管理平台Fastjson远程命令执行漏洞
holyxp的博客
07-24 2385
综合安防管理平台基于 " 统一软件技术架构" 理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、配置、管理和调度。
HiKVISION 综合安防管理平台 env信息泄漏漏洞,2024年最新网络安全源码剖析之Framwork层消息传递
2301_76225520的博客
04-13 1018
Hikvision是一家在中国颇具影响力的安防公司,其网络摄像头产品在市场上占据了相当大的份额。综合安防管理平台基于“统一软件技术架构”理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。
海康威视部分综合安防管理平台产品存在任意文件上传漏洞
Al345__的博客
11-19 2051
海康威视部分综合安防管理平台历史版本由于对上传文件接口校验不足,攻击者可以将恶意文件上传到平台,导致获取服务权限或服务异常。攻击者利用该漏洞上传Webshell,并随后执行任意命令,对主机上相关文件进行加密,加密后缀为locked1。海康威视iVMS集中监控应用管理平台,是以安全防范业务应用为导向,以视频图像应用为基础手段,综合视频监控、联网报警、智能分析、运维管理等多种安全防范应用系统,构建的多业务应用综合管理平台。(2)建立重要业务数据的定期备份机制,并做好权限隔离,防止勒索软件对备份数据进行加密;
海康综合安防管理平台接口对接
01-10
### 海康威视综合安防管理平台API接口对接 #### 安全认证与环境准备 为了成功对接海康威视综合安防管理平台,需完成必要的注册和认证过程[^1]。这涉及到创建账号并获得相应的访问凭证(如AppKey)。对于Java开发者而言,推荐的做法是从官方渠道下载最新的OpenApi安全认证库,并将其引入到项目当中。 ```java // 导入所需的安全认证库 import com.hikvision.artemis.sdk.ArtemisHttpUtil; ``` #### 获取设备状态信息 针对获取摄像头及门禁系统的运行状况这一需求,可以利用`getDeviceStatus`这样的API来定期查询指定范围内所有关联硬件的工作状态。此操作有助于及时发现潜在故障点,保障系统稳定运作[^2]。 ```java public void checkDevicesHealth() { String result = ArtemisHttpUtil.getDeviceStatus("your_device_id"); } ``` #### 实现视频流传输功能 考虑到实际应用场景中的多样性,提供了多种协议支持用于实现实时视频预览的功能,包括但不限于RTSP、RTMP以及HLS等。下面给出了一段基于RTSP协议抓取直播画面的例子: ```java String rtspUrl = "rtsp://username:password@ip_address/stream"; BufferedImage image = ImageIO.read(new URL(rtspUrl).openStream()); ``` 需要注意的是,上述代码片段仅为示意性质,在真实环境中应当加入异常处理机制以增强程序健壮性;同时也要确保网络连接畅通无阻以便顺利完成数据交换活动[^3]。 #### 处理门禁事件日志 最后关于读取特定时间段内发生的人员出入记录,则可通过调用专门设计好的服务端接口达成目的。通常情况下返回的数据结构会包含时间戳、卡号以及其他附加属性等内容供后续分析使用。 ```java List<AccessRecord> records = artemisClient.queryAccessEvents(startDate, endDate); for (AccessRecord record : records) { System.out.println(record.toString()); } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

丢了少年失了心1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值