大华 DSS 数字监控系统 itcBulletin SQL 注入

已于 2024-03-09 20:53:43 修改
阅读量532 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全
于 2024-03-09 20:48:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/136590598
版权
大华DSS数字监控系统存在SQL注入漏洞,攻击者可通过向'/portal/services/itcBulletin'发送特殊数据包,利用报错注入获取数据库敏感信息,包括管理员密码和用户个人信息。高权限情况下,攻击者甚至能写入木马控制服务器。
摘要由CSDN通过智能技术生成

简介

大华DSS数字监控系统是大华开发的一款安防视频监控系统,拥有实时监视、云台操作、录像回放、报警处理、设备管理等功能。

漏洞描述

大华DSS存在SQL注入漏洞,攻击者 /portal/services/itcBulletin 路由发送特殊构造的数据包,利用报错注入获取数据库敏感信息。攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

影响版本

大华DSS数字监控系统
Fofa:

app="dahua-DSS"

漏洞复现

向服务器发送以下构造的数据包,返回包存在1220的MD5值即为存在漏洞

POST /portal/services/itcBulletin?wsdl HTTP/1.1
Host: 1.6.136.116
User-Agent: Mozilla/5.0 (Wi
了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
专栏目录
订阅专栏
【漏洞复现】大华DSS城市安防监控平台任意文件读取漏洞
晚风不及你
03-05 819
大华DSS数字监控系统平台存在任意文件读取漏洞,攻击者可以通过此漏洞获取服务器上的任意文件,造成敏感信息泄露。
大华DSS数字监控系统 attachment_clearTempFile sql注入漏洞复现(含nuclei-POC)
m0_50797689的博客
03-19 833
大华DSS数字监控系统 attachment_clearTempFile sql注入漏洞复现(含nuclei-POC)
视频监控汇聚平台:通过SDK接入大华DSS视频监控平台的源代码解释和分享
最新发布
weixin_70208651的博客
07-13 1469
视频监控接入汇聚平台是集成了视频资源接入、汇聚、存储、处理、分析、运维,旨在实现不同品牌、不同协议、不同型号的视频监控资源的统一接入、汇聚、存储、管理和应用。支持多种接入协议,如GB/T28181、RTSP、ONVIF、RTMP等协议及特定的协议,实现视频资源的集中管理和融合应用,并提供API接口。C++代码是大华DSS视频监控平台接入到AS-V1000的SDK代码的源代码函数,封装和大华DSS平台交互的网络SDK功能。类封装了一系列方法,用于登录、实时预览、回放控制、PTZ控制、报警设置等,以及成员变量。
大华 DSS 数字监控系统 itcBulletin SQL 注入漏洞复现
holyxp的博客
12-18 2774
大华 DSs 数字监控系统大华开发的一款安防视频监控系统,拥有实时监视、云台操作、录像回放、报警处理、设备管理等功能。大华 DSS存在SQL注入漏洞,攻击者 pota/services/itcBuletin 路由发送特殊构造的数据包,利用报错注入获取数据库敏感信息。攻击者除了可以利用 SQL注入漏词获取数据库中的信息例如,管理员后台密码、站点的用户人人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限poc验证是否存在漏洞如果你想查询用户名和密码。
大华 DSS 数字监控系统attachment_clearTempFile.action存在SQL注入漏洞
weixin_43167326的博客
03-20 1224
大华DSS(Digital Surveillance System)是一款功能强大的数字监控系统,广泛应用于各类安全监控场景。它采用先进的数字视频处理技术,能够实现高清、实时的视频监控,为安全管理提供了有力支持。大华DSS系统具有高度的灵活性和可扩展性,可根据实际需求配置不同的监控设备,满足不同场合的安全监控需求。同时,系统还支持远程监控和管理,用户可通过手机、电脑等终端设备随时查看监控画面,实时掌握现场情况。
大华 DSS 数字监控系统 attachment_getAttList.actionSQL注入漏洞
weixin_43167326的博客
02-08 567
大华DSS数字监控系统attachment_getAttList接口存在SQL注入漏洞,攻击者可以利用该漏洞获取数据库敏感信息。
【漏洞复现】大华DSS数字监控系统getAttList SQL注入漏洞
晚风不及你
03-05 763
大华DSS数字监控系统是一个在通用安防视频监控系统基础上设计开发的系统,除了具有普通安防视频监控系统的实时监视、云台操作、录像回放、报警处理、设备治理等功能外,更注重用户使用的便利性。
【漏洞复现】大华DSS数字监控系统itcBulletin SQL注入漏洞
晚风不及你
03-06 1000
大华DSS数字监控系统是一个在通用安防视频监控系统基础上设计开发的系统,除了具有普通安防视频监控系统的实时监视、云台操作、录像回放、报警处理、设备治理等功能外,更注重用户使用的便利性。
【漏洞复现】大华 DSS 数字监控系统 itcBulletin SQL 注入
失心少年
01-11 503
攻击者除了可以利用 SQL注入漏词获取数据库中的信息例如,管理员后台密码、站点的用户人人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限## 免责声明。技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!
大华数字监控系统DSS-M2.1安装手册_V1.0
08-26
大华数字监控系统DSS-M2.1安装手册_V1.0
数字监控系统DSS2.0(安装说明)
08-06
数字监控系统DSS2.0,管理的视频、移动巡查、车辆、重点设施等城管资源数据和现有应用系统,改造和完善现有的城管案件处置流程,将现有城市综合管理的巡查发现、投诉受理、协调督办、检查考评、设施监控、指挥调度等工作纳入系统管理,构筑市、区及各职能部门共享的一体化城市综合管理监督、考核和指挥调度体系,建立日常控管与应急指挥有机结合地城市综合管理信息化处理机制。
大华dss平台连接摄像头
11-06
这个webdemo可以通过连接大华dss平台来访问摄像头画面,包括云台的控制,画面回放等都可以实现。
大华平台DSS视频监控系统介绍.doc
05-13
大华平台DSS视频监控系统介绍
大华DSS二次开发(OCX) v1.1.003 2014/9/23
06-11
大华DSS二次开指南(ocx版) v1.1.003 2014/9/23 大华DSS视频监控平台二次开发包
大华监控DSS存在SQL注入高危漏洞
wan___she__pi的博客
03-27 860
大华DSS大华的大型监控管理应用平台,支持几乎所有涉及监控等方面的操作,支持多级跨平台联网等操作。将视频监控、卡口拍照、 区间测速 、电子地图、违章查询系统等诸多主流应用整合,实现更加智能、便捷的分级查询服务。大华 DSS 数字监控系统 存在File.action SQL注入,黑客可以利用该漏洞执行任意SQL语句,获取敏感信息,造成危害。
【复现】大华 DSS 数字监控系统 任意文件读取漏洞_38
fushuang333的博客
02-03 1362
【复现】大华 DSS 数字监控系统 任意文件读取漏洞,通过提交专门设计的输入,攻击者就可以在被访问的文件系统中读取或写入任意内容。
【漏洞复现】大华DSS数字监控系统配置系统后台弱口令漏洞
晚风不及你
03-08 1388
大华DSS数字监控系统是一个在通用安防视频监控系统基础上设计开发的系统,除了具有普通安防视频监控系统的实时监视、云台操作、录像回放、报警处理、设备治理等功能外,更注重用户使用的便利性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值