【漏洞复现】海康威视 综合安防管理平台 session接口 远程代码执行漏洞

最新推荐文章于 2024-06-23 00:00:00 发布
最新推荐文章于 2024-06-23 00:00:00 发布
阅读量2k 收藏 14
点赞数 44
分类专栏: 漏洞复现 文章标签: web web安全 网络安全 漏洞复现 漏洞 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41924764/article/details/139730055
版权

免责声明:

        本文内容旨在提供有关特定漏洞或安全漏洞的信息,以帮助用户更好地了解可能存在的风险。公布此类信息的目的在于促进网络安全意识和技术进步,并非出于任何恶意目的。阅读者应该明白,在利用本文提到的漏洞信息或进行相关测试时,可能会违反某些法律法规或服务协议。同时,未经授权地访问系统、网络或应用程序可能导致法律责任或其他严重后果。作者不对读者基于本文内容而产生的任何行为或后果承担责任。读者在使用本文所提供的信息时,必须遵守适用法律法规和相关服务协议,并独自承担所有风险和责任。

产品简介

        综合安防管理平台基于“统一软件技术架构”理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、配置、管理和调度。

漏洞描述

        海康综合安防管理平台 session 接口存在 fastjson 反序列化漏洞。攻击者可在未鉴权的情况下,对目标服务器进行远程命令执行,从而获取服务器权限。

网络空间会测

Fofa


                

                
                
        

        

    

  


        

            

                

                

                了解本专栏
                
                
                  
                订阅专栏 解锁全文
                 
                
                    
                    超级会员免费看
                
            

            
            
            
        

    

      

        

            

              
                
                  0x0000001
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          

                

                        订阅专栏
                









                



	

		

			

				
					
海康威视iSecure Center 综合安防管理平台detection接口存在远程命令执行漏洞

				
			

			

				

					xiaokp7的博客
				

				

					07-24
					
					1051
					
				

			

		

		

			
				
HIKVISION iSecure Center综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备,获取边缘节点数据,实现安防信息化集成与联动,以电子地图为载体,融合各系统能力实现丰富的智能应用。HIKVISION iSecure Center平台基于“统一软件技术架构”先进理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、统一配置、统一管理和统一调度。

			
		

	



                

              
                



	

		

			

				
					
海康威视综合安防管理平台 detection 前台RCE漏洞复现

					
最新发布

				
			

			

				

					0xSec
				

				

					07-22
					
					5077
					
				

			

		

		

			
				
海康威视综合安防管理平台 /center/api/installation/detection 接口处存在远程命令执行漏洞,未经身份验证的远程攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。

			
		

	



                


  
              

                


	

		

			

				
					
海康综合安防管理平台远程命令执行漏洞(CNVD-2024-18673)复现

				
			

			

				

					fly夏天的博客
				

				

					06-19
					
					2389
					
				

			

		

		

			
				
海康综合安防管理平台远程命令执行漏洞(CNVD-2024-18673)复现

			
		

	





	

		

			

				
					
某购物商城系统commodtiy接口处存在任意文件上传漏洞

				
			

			

				

					weixin_43167326的博客
				

				

					05-10
					
					930
					
				

			

		

		

			
				
某购物商城系统commodtiy接口处存在任意文件上传漏洞,恶意攻击者可以上传恶意软件,例如后门、木马或勒索软件,以获取对服务器的远程访问权限或者破坏系统,对服务器造成极大的安全隐患。

			
		

	



		

			
		



	

		

			

				
					
海康威视综合安防管理平台Fastjson远程命令执行漏洞

				
			

			

				

					holyxp的博客
				

				

					07-24
					
					2150
					
				

			

		

		

			
				
综合安防管理平台基于 " 统一软件技术架构" 理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、配置、管理和调度。

			
		

	





	

		

			

				
					
漏洞复现海康威视运行管理中心 center/api/session 存在远程命令执行漏洞

				
			

			

				

					https://blog.echo234.cn/
				

				

					03-28
					
					1784
					
				

			

		

		

			
				
通天星CMSV6车载视频监控平台是东莞市通天星软件科技有限公司研发的监控平台,通天星CMSV6产品覆盖车载录像机、单兵录像机、网络监控摄像机、行驶记录仪等产品的视频综合平台。通天星科技应用于公交车车载、校车车载、大巴车车载、物流车载、油品运输车载、警车车载等公共交通视频监控,还应用在家居看护、商铺远程监控、私家车的行驶分享仪上等。通天星CMSV6车载视频监控平台 StandardLoginAction_getAllUser存在信息泄露漏洞

			
		

	





	

		

			

				
					
漏洞复现海康威视 综合安防管理平台 applyAutoLoginTicket 远程代码执行漏洞

				
			

			

				

					alert['Hello World']
				

				

					06-19
					
					1005
					
				

			

		

		

			
				
综合安防管理平台基于“统一软件技术架构”理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、配置、管理和调度。海康综合安防管理平台 applyAutoLoginTicket 接口存在 fastjson 反序列化漏洞。攻击者可在未鉴权的情况下,对目标服务器进行远程命令执行,从而获取服务器权限。

			
		

	





	

		

			

				
					
漏洞复现海康威视 综合安防管理平台 keepAlive接口 远程代码执行漏洞

				
			

			

				

					alert['Hello World']
				

				

					06-23
					
					1331
					
				

			

		

		

			
				
海康综合安防管理平台 keepAlive 接口存在 fastjson 反序列化漏洞。攻击者可在未鉴权的情况下,对目标服务器进行远程命令执行,从而获取服务器权限。综合安防管理平台基于“统一软件技术架构”理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、配置、管理和调度。

			
		

	





	

		

			

				
					
漏洞复现海康威视 综合安防管理平台 applyCT接口 远程代码执行漏洞

				
			

			

				

					alert['Hello World']
				

				

					06-22
					
					973
					
				

			

		

		

			
				
综合安防管理平台基于“统一软件技术架构”理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、配置、管理和调度。海康综合安防管理平台 applyCT 接口存在 fastjson 反序列化漏洞。攻击者可在未鉴权的情况下,对目标服务器进行远程命令执行,从而获取服务器权限。

			
		

	





	

		

			

				
					
海康威视综合安防管理平台 orgManage/v1/orgs/download 任意文件读取漏洞复现

				
			

			

				

					0xSec
				

				

					05-31
					
					1386
					
				

			

		

		

			
				
海康威视综合安防管理平台 orgManage/v1/orgs/download 接口处存在任意文件读取漏洞,未经身份验证的远程攻击者可利用目录遍历的方式绕过权限认证直接读取后台服务器配置文件等敏感文件,造成信息泄露,使系统处于极不安全的状态。

			
		

	





	

		

			

				
					
漏洞复现海康威视综合安防管理平台Fastjson远程命令执行漏洞复现

				
			

			

				

					做自己喜欢的事,并将其发挥到极致!
				

				

					04-28
					
					8938
					
				

			

		

		

			
				
综合安防管理平台基于 统一软件技术架构 理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、配置、管理和调度。海康威视综合安防管理平台存在Fastjson远程命令执行漏洞,该漏洞执行系统命令,可获取到目标服务器系统权限以及敏感数据信息。

			
		

	





	

		

			

				
					
海康威视部分综合安防管理平台产品存在任意文件上传漏洞

				
			

			

				

					Al345__的博客
				

				

					11-19
					
					1785
					
				

			

		

		

			
				
海康威视部分综合安防管理平台历史版本由于对上传文件接口校验不足,攻击者可以将恶意文件上传到平台,导致获取服务权限或服务异常。攻击者利用该漏洞上传Webshell,并随后执行任意命令,对主机上相关文件进行加密,加密后缀为locked1。海康威视iVMS集中监控应用管理平台,是以安全防范业务应用为导向,以视频图像应用为基础手段,综合视频监控、联网报警、智能分析、运维管理等多种安全防范应用系统,构建的多业务应用综合管理平台。(2)建立重要业务数据的定期备份机制,并做好权限隔离,防止勒索软件对备份数据进行加密;

			
		

	





	

		

			

				
					
海康威视iSecure-Center 综合安防管理平台 applyAutoLoginTicket/keepAlive/applyCT 远程命令执行漏洞

				
			

			

				

					WuYSec的博客
				

				

					06-12
					
					1122
					
				

			

		

		

			
				
海康威视iSecure Center综合安防管理平台是一套集成化、智能化的安防管理系统。海康威视iSecure Center综合安防管理平台存在远程命令执行漏洞,可造成远程命令执行

			
		

	





	

		

			

				
					
海康威视综合安防管理平台 多处 FastJson反序列化RCE漏洞复现

				
			

			

				

					0xSec
				

				

					06-07
					
					2123
					
				

			

		

		

			
				
由于海康威视综合安防管理平台使用了低版本的fastjson,攻击者可在未鉴权情况下获取服务器权限,且由于存在相关依赖,即使服务器不出网无法远程加载恶意类也可通过本地链直接命令执行,从而获取服务器权限。

			
		

	





	

		

			

				
					
漏洞复现】Hikvision综合安防管理平台config信息泄露漏洞

				
			

			

				

					晚风不及你
				

				

					01-21
					
					2587
					
				

			

		

		

			
				
Hikvision(海康威视)是一家在中国颇具影响力的安防公司,其网络摄像头产品在市场上占据了相当大的份额。综合安防管理平台基于“统一软件技术架构”理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。

			
		

	





	

		

			

				
					
【1day】复现海康综合安防管理平台 applyCT Fastjson远程命令执行漏洞

				
			

			

				

					 记录并分享学习安全的知识点..
				

				

					07-24
					
					760
					
				

			

		

		

			
				
海康威视综合安防管理平台,可以对接入的视频监控点集中管理,实现统一部署、统一配置、统一管理和统一调度,海康综合安防管理平台 applyCT 存在低版本Fastjson远程命令执行漏洞,攻击者通过漏洞可以执行任意命令获取服务器权限。

			
		

	





	

		

			

				
					
海康威视 isecure center 综合安防管理平台任意文件上传漏洞

				
			

			

				

					做自己喜欢的事,并将其发挥到极致!
				

				

					06-19
					
					1450
					
				

			

		

		

			
				
海康威视部分综合安防管理平台管理平台基于 统一软件技术架构 理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、配置、管理和调度。海康威视综合安防管理平台keepAlive接口存在Fastjson远程命令执行漏洞,攻击者可通过构造恶意Payload执行并获取服务器系统权限以及敏感数据信息。

			
		

	





	

		

			

				
					
漏洞复现-海康威视综合安防管理平台信息泄露【附Poc】

				
			

			

				

					zkaqlaoniao的博客
				

				

					10-25
					
					4111
					
				

			

		

		

			
				
海康威视(Hikvision)是一家总部位于中国杭州的公司,是全球最大的视频监控产品供应商。除了传统的CCTV摄像机和网络摄像机,海康威视还提供各种相关的安防产品和解决方案。他们的综合安防管理平台为用户提供了一站式的解决方案,包括视频监控、入侵检测、访客管理、停车场管理等。

			
		

	





	

		

			

				
					
海康威视iSecure Center:综合安防管理平台解析

				
			

			

				

					
				

			

		

		

			
				
"海康威视iSecure Center是一款综合安防管理平台,旨在提供全面的集成化和智能化解决方案。它基于‘统一软件技术架构’,采用业务组件化技术,支持跨行业的安防需求,整合并集中管理各类系统资源。平台能够接入视频...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
0x0000001

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值